Archives par mot-clé : cnil

Cybersécurité, Justice

TikTok s’étouffe en France avec ses cookies

La CNIL a condamné TikTok à une amende de 5 millions d’euros pour avoir enfreint les lois sur les cookies.

Le populaire service d’hébergement de vidéos TikTok a été condamné à une amende de 5 millions d’euros par la Commission Nationale Informatique et des Libertés (CNIL) pour avoir enfreint les règles de consentement aux cookies, ce qui en fait la dernière plate-forme à faire face à des sanctions similaires après Amazon, Google, Meta et Microsoft.

« Les utilisateurs de ‘TikTok ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise des objectifs des différents cookies« , déclare la CNIL.

Le régulateur a déclaré avoir effectué plusieurs audits entre mai 2020 et juin 2022, constatant que la société appartenant à la société Chinoise ByteDance n’offrait pas une option simple pour refuser tous les cookies au lieu d’un seul clic pour les accepter.

L’option de « refuser tous » les cookies a été introduite par TikTok en février 2022. La CNIL a sanctionné, en ce début d’année, Microsoft et Appel pour des manquements aux règles liées au RGPD.

Cybersécurité, Justice

Les CNIL Européennes montrent les dents face à Google

Les Commissions Informatiques et des Libertés Européennes considèrent que les données collectées par Google sont encore trop mal protégées face à l’espionnage. La France et l’Autriche menacent de nouvelles sanctions contre le géant américain.

Les données utilisées par Google et sa maison mère Alphabet ne seraient pas suffisament protégées, selon plusieurs CNIL Européennes. Pour la France, la Commission Informatique et des Libertés menacent d’interdiction Google Analytics. Enfin pourrions-nous dire. Depuis des années, l’exploitation des informations collectées est illégale. Google Analytics permet d’analyser le comportement des internautes sur internet et la CNIL s’inquiète de la possibilité d’interception par les services secrets américains.

Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux. La Commission estime que les données ne sont pas suffisamment encadrées. Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès (violation des articles 44 et suivants du RGPD) des services de renseignements américains à ces données.

En Autriche, la CNIL locale a déterminé de son côté que Google Analytics violait, lui aussi, le règlement général sur la protection des données. Google Analytics communique les adresses IP des visiteurs de site web aux États-Unis. Les adresses IP représentent des données personnelles car elles permettent de suivre et retrouver une personne.

Autant dire que le défit n’est pas du côté de Google, mais des millions de webmasteurs, administrateurs de site web, utilisateurs de l’outil. Pour continuer à utiliser Google Analytics, tout en se conformant aux exigences du GDPR, la société Cloudflare propose la solution Zaraz (à une lettre prêt sur un clavier, cela fait zataz, comme le blog de référence en cybersécurité zataz.com). L’outil se veut un intermédiaire entre le navigateur et le serveur tiers.

Si l’on reprend l’exemple de Google Analytics, lors de la connexion à un site web, Zaraz chargera les outils dans le cloud en utilisant la plateforme Workers de la société américaine. En procédant ainsi, il n’y aura absolument aucune communication entre le navigateur et le point d’accès de Google. Les IP européennes sont ainsi bloquées en dehors de l’UE.

Par défaut, Zaraz ne sauvegarderait aucune information sur l’utilisateur final, à l’exception de la journalisation des erreurs. A noter que cet outil gère aussi d’autres traceurs comme ceux de Google Ads, Bing, Facebook pixel, Linkedin, etc.

Communiqué de presse

Suspension de l’utilisation des drones pour contrôler le déconfinement à Paris par le Conseil d’Etat : les contrôles de la CNIL

Par une ordonnance de référé rendue le 18 mai 2020, le Conseil d’État a enjoint à « l’État de cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ».

Le Conseil d’État a estimé que, du fait de la possibilité de zoomer et d’identifier des personnes physiques, les dispositifs utilisés par la préfecture de police de Paris étaient soumis aux règles protégeant les données personnelles. Il a jugé que ces drones étaient utilisés en dehors du cadre prévu par la loi Informatique et Libertés du 6 janvier 1978 et portaient une atteinte « grave et manifestement illégale au droit au respect de la vie privée ».

Depuis plusieurs semaines, la CNIL s’est interrogée sur ces pratiques. Elle a diligenté des contrôles auprès du ministère de l’Intérieur concernant l’usage de drones dans plusieurs villes. Ces contrôles visent des services de la police nationale et de la gendarmerie. Des vérifications similaires sont effectuées auprès de plusieurs communes dont les polices municipales ont elles aussi, semble-t-il, eu recours à des drones.

Ces investigations portent tant sur la situation actuelle que sur ce qui s’est passé durant la période de confinement. Les premières demandes d’information à l’initiative de la CNIL datent du 23 avril 2020 et sont en cours d’instruction, en l’attente notamment des éléments de réponse du ministère de l’Intérieur.

La CNIL prendra position sur cette question à l’issue des procédures de contrôle en cours.

loi, Mise à jour

Droit au déréférencement

Le 6 décembre 2019, le Conseil d’État a rendu d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaître des données sensibles.

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Sur cette base, le Conseil d’État a, par 13 décisions rendues le 6 décembre 2019, apporté d’importantes précisions sur la mise en œuvre du droit au déréférencement. Le Conseil d’État indique que pour chaque demande de déréférencement, l’intérêt du public à avoir accès à cette information doit être mis en balance avec trois grandes catégories de critères :

les caractéristiques des données en cause : contenu des informations, leur date de mise en ligne, leur source, etc. ;
la notoriété et la fonction de la personne concernée ;

les conditions d’accès à l’information en cause : la possibilité pour le public d’y accéder par d’autres recherches, le fait que l’information ait été manifestement rendue publique par la personne concernée, etc.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé, etc.), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État indique que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

La CNIL prend acte de ces précisions dans les informations publiées sur son site internet, notamment dans la FAQ décrivant les conséquences pratiques de ces décisions sur les personnes concernées, ainsi que dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans.

Les textes de référence
Arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 dans l’affaire C-136/17
13 décisions relatives au droit à l’oubli prises par le Conseil d’État le 6 décembre 2019

Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, ID, Identité numérique, IOT, Particuliers, RGPD, Securite informatique

Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?

Le LINC (Laboratoire d’innovation numérique de la CNIL) publie son 5ème cahier Innovation et prospective intitulé : « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city ».

Ce cahier « Smart City » explore les enjeux politiques et sociaux qui émergent autour de la place croissante des données dans la ville, au-delà de la seule conformité à la loi Informatique et Libertés ou au Règlement Général sur la Protection des Données (RGPD). Ce cahier entend également contribuer aux débats et questionnements en cours sur la smart city, à travers un prisme de lecture et un éclairage propres à la CNIL : l’accompagnement de l’innovation couplé à la protection des données et des libertés individuelles en contexte urbain. Il s’adresse à tous les acteurs qui gravitent autour de ces questions, et notamment aux collectivités locales, qui font face à de nouvelles problématiques.

Il souligne les conséquences de la massification des données sur les politiques publiques urbaines et en particulier sur les équilibres dans les rapports public / privé. Il propose de remettre en perspective la ville au prisme de l’économie des plateformes, et des équilibres de force entre acteurs publics, acteurs privés et citoyens. Après une première partie décrivant les limites de l’expression « smart city », la mise en données de la ville numérique est abordée selon trois angles :

Quand les modèles économiques des plateformes transforment la ville : ou comment l’arrivée des grands acteurs du numérique dans les services urbains (Sidewalk CityLab, Waze Connected Citizen de Alphabet/Google, Uber ou Facebook) pose la question des contreparties réelles demandées aux individus et aux acteurs publics pour des services présentés comme gratuits.

La ville liquide : à qui profitent les flux ? : ou comment la promesse de la ville fluide pose la question de la liberté et des droits des individus qui parfois réduits à une somme d’éléments à optimiser et de problèmes à résoudre par la technologie.

Vers un mode « navigation privée » dans l’espace public ? : ou comment les impératifs de sécurité et la généralisation des dispositifs de captation mettent à mal l’anonymat, pourtant constitutif de la ville.

Dans une dernière partie, quatre scénarios prospectifs de régulation permettant d’engager un rééquilibrage privé/public par les données sont explorés. Ils sont mis en perspective pour répondre aux questions suivantes :

Comment organiser un retour vers l’acteur public de données produites par l’entremise des individus dans le cadre de services portés par des acteurs privés ?
Comment permettre à ces acteurs publics de réutiliser ces données à forte valeur ajoutée pour des finalités d’intérêt général, dans le respect des droits des entreprises en question, ainsi que des droits et libertés des personnes concernées ?

Ces quatre scénarios, présentés dans une matrice à quatre entrées comme autant de leviers actionnables, envisagent notamment des configurations privilégiant le recours à :

un « open data privé obligatoire » ;
des « données d’intérêt général augmentées » ;
des solutions de « plateformes d’accès aux données »,
la « portabilité citoyenne » ;

Sans privilégier l’un ou l’autre de ces scénarios, qui ne sont pas exclusifs, il s’agit de présenter l’économie générale de chacun, de souligner leurs potentialités et de mettre en lumière les enjeux qu’ils soulèvent pour la protection des données personnelles des citoyens.

Ce cahier IP est distribué avec son tiré à part, « Voyage au centre de la ville de demain », qui expose trois scénarios à horizon 2026 conçus dans le cadre d’ateliers de design fiction, organisés et animés par LINC en partenariat avec Five by Five (agence d’innovation) et Usbek & Rica (magazine d’exploration du futur).

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Cybersécurité, Justice, loi

Droit d’accès : Un dentiste n’a pas répondu à la CNIL, le voilà condamné !

La formation restreinte de la CNIL a prononcé une sanction de 10.000 € à l’encontre d’un cabinet dentaire, pour non-respect du droit d’accès et non coopération avec la CNIL.

Droit d’accès : En novembre 2015, la CNIL a reçu une plainte d’un patient ne parvenant pas à accéder à son dossier médical détenu par son ancien dentiste.

Les services de la CNIL ont plusieurs fois interrogé le cabinet dentaire au sujet de cette demande.

En l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le cabinet  dentaire de faire droit à la demande d’accès du patient et de coopérer avec les services de la Commission.

Faute de réponse à cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre du responsable de traitement.

Après examen du dossier, la formation restreinte de la CNIL a considéré :

  • qu’il y avait bien un manquement au droit d’accès du patient prévu par la loi ;
  • que les obligations déontologiques auxquelles sont soumises les professions médicales, notamment celles liées au secret médical, ne pouvaient justifier au cas d’espèce une absence de communication du dossier médical au plaignant.
  • que le cabinet dentaire avait fait preuve d’un défaut manifeste de prise en compte des questions « Informatique et Libertés » et avait méconnu son obligation de coopération avec la CNIL résultant de la loi.

Compte tenu de l’ensemble de ces circonstances propres au cas d’espèce dont elle était saisie, la formation restreinte a donc décidé de prononcer une sanction pécuniaire de 10 000 euros à l’encontre du cabinet dentaire.

En rendant publique sa décision, elle a souhaité rappeler aux patients leurs droits et aux professionnels de santé leurs obligations.

Chaque année, la CNIL reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical. Près de la moitié des demandes d’accès concernent des médecins libéraux.

Dans ce contexte, il est nécessaire de souligner que chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné (article 43).

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois. A lire, le dossier de la CNIL sur « Comment répondre à une demande de droit d’accès ?« 

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi

RGPD – Seconde consultation de la CNIL au sujet du règlement européen de protection des données personnelles

RGPD, c’est bientôt ! La CNIL (Commission nationale de l’informatique et des libertés) vient de lancer une 2e consultation nationale auprès des professionnels sur le règlement européen de protection des données personnelles (entrée en vigueur : mai 2018 pour les 28 Etats membres).

Les sujets abordés sont le profilage (« Comment intégrer les principes de privacy by design and by default ? », « Le profilage appliqué à votre secteur d’activité »), le consentement (« Qu’est ce que le consentement ? », « Le retrait du consentement ? »)  et les notifications de violation de données personnelles (« qui a obligation de notifier ? », « à quel moment notifier ? », « comment informer ? »).

Cette consultation se tient jusqu’au 24 mars et viendra alimenter les travaux du G29 (groupe des CNIL européennes) qui se réunissent en avril.

L’année dernière, de juin à juillet 2016, 225 contributeurs avaient posté 540 contributions et émis 994 votes sur les 4 premiers thèmes qui font l’objet de lignes directrices : le délégué à la protection des données, portabilité, études d’impact sur la vie privée, certification).

Du 23 février au 23 mars 2017, la CNIL ouvre la consultation sur 3 nouveaux thèmes : Notification de violation de données personnelles ; profilage et consentement. Ces éléments permettront de clarifier et de rendre pleinement opératoires les nouvelles règles européennes et nourriront les lignes directrices que produira le G29.

La protection des données personnelles doit être pleinement intégrée à l’ensemble de vos activités dès lors qu’elles impliquent un traitement d’informations. En effet, l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD) requiert dès aujourd’hui la mise en conformité de votre organisation, vos processus et votre stratégie. La société iTrust et ZATAZ ont proposé, le 28 février, un rendez-vous dédié à la compréhension de la GRPD. Un Webinaire avec Damien Bancal (ZATAZ.COM) et par ITrust, société d’expertise en cybersécurité française.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Mise à jour, Sauvegarde

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

La directive européenne de protection des données personnelles est morte ! Vive le règlement général sur la protection des données (GDPR). Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée. Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données. Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisation n’a pas donné son accord. Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement. « En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu.

Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Particuliers, Sauvegarde

Nouvelle tentative de Google d’échapper au droit à l’oubli

Le géant Google a été condamné à 100 000 euros d’amende par la Commission Nationale Informatique et Libertés (CNIL) pour ne pas avoir appliqué le droit à l’oubli sur l’ensemble des extensions géographiques de son nom de domaine.

Cette condamnation fait suite à une mise en demeure datant de mai 2015, par laquelle la CNIL reprochait au moteur de recherche de limiter le déférencement des liens signalés par les internautes européens, aux extensions géographiques européennes de son nom de domaine, comme par exemple : « google.fr » en France, « google.it » en Italie. Les contenus litigieux restent donc accessibles sur l’extension « google.com ».

En réplique, Google avait affirmé qu’il ne revient pas à une agence nationale de protection des données à caractère personnel de se revendiquer « une autorité à l’échelle mondiale pour contrôler les informations auxquelles ont accès les internautes à travers le monde ».

Isabelle Falque-Pierrotin, Présidente de la CNIL, avait alors décidé d’engager une procédure de sanction à l’encontre de Google. Elle souhaitait ainsi faire preuve d’une certaine fermeté en raison des nombreuses plaintes des internautes (700 plaintes dont 43% sont fondées).

En réalité, la CNIL cherche à faire appliquer l’arrêt du 13 mai 2014 dans lequel la Cour de justice européenne avait consacré le droit à l’oubli. Ce dernier permet à tout internaute européen qui en fait la demande, d’obtenir le déférencement de contenus de nature à porter atteinte au respect de sa vie privée.

Bien que désapprouvant cette décision, Google avait mis à disposition des internautes un formulaire de signalement. La démarche n’en est pas pour autant faciliter puisqu’en France seules 52% des pages web ayant fait l’objet d’une demande de déférencement ont été partiellement retirées. De plus, en cas de refus du moteur de recherche de déférencer les informations signalées, il ne reste à ces derniers plus qu’à se tourner soit vers le juge des référés, soit vers la CNIL. Or, le juge a tendance à mettre en balance le droit à l’oubli avec la liberté d’information (TGI de Paris, 23 mars 2015).

En janvier dernier, Google a proposé de mettre en place un filtrage afin que les internautes qui consultent le moteur de recherche à partir du même pays d’origine que le demandeur, ne voient plus le résultat ayant été déférencé. Comme soutenu par la CNIL, ce filtre ne permettrait pas de garantir efficacement le droit au respect de la vie privée au travers du droit à l’oubli.

A contrario, la position du géant américain est justifiée notamment au regard du principe de neutralité des contenus sur internet. De plus, le droit à l’oubli affaiblit la valeur économique de Google qui réside dans le référencement des liens hypertextes et qui est fondé sur le droit à l’information.

Google entend contester cette décision.

Par Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.

Cybersécurité, Facebook, Justice, loi

La CNIL lance un ultimatum à Facebook

Un commentaire

Le leader mondial des réseaux sociaux tant décrié pour ses pratiques en matière de données à caractère personnel, va-t-il enfin plier face à la CNIL ? Le G29 est à l’assaut de Facebook depuis mars 2015. La France est la première à se prononcer sur le cas du site internet. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Dans une décision du 26 janvier 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés du 6 janvier 1978. Eu égard à « la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et libertés fondamentaux des personnes concernées », la CNIL a choisi d’en faire la publicité.

Elle reproche tout d’abord à Facebook, de suivre la navigation des internautes non-titulaires d’un compte, sur des sites tiers. Pour ce faire, le réseau social dépose un cookie sur le terminal de chaque personne ayant visité une page Facebook publique. L’article 32-II de la loi Informatique et Libertés dispose que la mise en place de cookies sur le terminal d’un utilisateur implique le consentement préalable de ce dernier, ce qui n’est pas le cas en l’espèce.

Il est également fait grief au réseau social de ne pas recueillir le consentement exprès des internautes au moment de la collecte et du traitement des données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. S’agissant de données sensibles, Facebook aurait dû solliciter de la CNIL une autorisation antérieurement à la réalisation dudit traitement ou de la personne concernée son consentement.

De plus, elle relève que le site internet ne met pas à disposition des utilisateurs un mécanisme qui permettrait à ces derniers de s’opposer à la combinaison des données à caractère personnel à des fins publicitaires. Or, un tel traitement de données est soumis à l’article 7 de la loi Informatique et Libertés qui prévoit qu’à défaut d’obtenir le consentement de la personne concernée, le traitement n’est autorisé que s’il entre dans l’une des situations ci-après énoncées : s’il est effectué dans le respect d’une obligation légale incombant au responsable du traitement ; pour sauvegarder la vie de la personne concernée ; dans le cadre de l’exécution d’une mission de service public ; en vue de l’exécution d’un contrat ou de mesures précontractuelles ; si le responsable du traitement poursuit un intérêt légitime. La Politique d’utilisation des données de Facebook précise que l’utilisation des données à leur disposition permet de présenter des publicités pertinentes. Le traitement qu’elle réalise est donc contraire à l’article précité.

Enfin la CNIL constate que Facebook continue à transférer les données provenant de l’Union européenne vers les Etats-Unis sur la base du Safe Harbor, lequel a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Depuis lors, il n’est plus possible aux entreprises de procéder à des transferts de données à caractère personnel sur le fondement dudit accord. Cependant, le 3 février dernier le G29 a déclaré que les entreprises pourraient dans l’attente de l’entrée en vigueur  l’« EU-US Privacy Shield » (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée »), continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées. Il semblerait donc que Facebook ne sera pas sanctionné sur ce point.

Le réseau social a trois mois pour adopter les mesures propres à pallier ce défaut de conformité à la loi Informatique et Libertés. Passé ce délai, la présidente de la CNIL pourra désigner un rapporteur. Ce dernier peut être amené le cas échéant à proposer à la formation restreinte de la CNIL, le prononcé d’une sanction à l’encontre de Facebook.

Parallèlement, les autres CNIL du G29 (Belgique, Allemagne, Espagne et Pays-Bas) continuent leurs investigations. D’autres mises en demeure et sanctions pourraient bientôt tombées. [En Belgique, par exemple, les cookies FB ne peuvent plus suivre les Belges, ND DataSecurityBreach.fr]

Entreprise, Justice

Discrète décision de justice sur Google France

Voilà une décision judiciaire qui n’aura pas fait grand bruit. Le Conseil d’Etat a imposé à Google la décision de justice lui indiquant l’obligation d’afficher sa condamnation à 150.000 euros d’amende après une délibération de la CNIL. Un affichage qui aura profité d’un discret week-end. Le texte a été installé sous la barre de recherche durant le week-end du 8/9 février.

Pour voir l’information judiciaire, il fallait taper Google.fr dans son navigateur. Un texte qui n’apparaissait plus si vous utilisiez une application pour navigateurs, ou lanciez une recherche sans passer au préalable via la page blanche Google.fr.

Le 7 février, une ordonnance de référé a imposé cet affichage à Google. Par chance pour le géant américain, le communiqué a été diffusé le week-end, sans que personne ne puisse véritablement sans rendre compte : « La formation restreinte de la Commission nationale de l’informatique et des libertés a condamné Google Inc. à 150 000 € pour manquement à la loi « Informatique et libertés »… ». Comme le rappel Legalis, le Conseil d’Etat a estimé que la société américaine n’avait apporté « aucun élément de nature à établir qu’un tel préjudice irréparable pourrait résulter de l’atteinte qui, selon elle, serait portée à sa réputation ».

Le 3 janvier dernier, la Cnil avait condamné Google Inc. à 150 000 € d’amende en reprochant au géant américain  d’avoir fusionné en une seule politique les différentes règles de confidentialité applicables à Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Pendant ce temps, Google fait la chasse aux images que ses robots considèrent comme « pornographiques ».

Plusieurs exemples viennent de nous être rapportés, comme ce blog d’un photographe Lillois dont un champignon avait, aux yeux de Google, une forme un peu trop phallique. Bilan, Google a coupé les annonces publicitaires.

A noter, que le site de la CNIL est tombé en carafe, le temps de cet affichage. Trop de visiteurs ! Un DoS judiciaire légal. Malin ce Google !

 

 

Chiffrement, Entreprise, Fuite de données, Sauvegarde

Un centre hospitalier mit en demeure par la CNIL

Le 25 septembre dernier, la Présidente de la CNIL a lancé une mise en demeure à l’encontre du Centre hospitalier de Saint-Malo. Tout a débuté en juin 2013, la Commission Informatique et liberté contrôlait le C.H. et découvrait qu’un prestataire avait pu accéder, avec le concours de l’établissement, aux dossiers médicaux de plusieurs centaines de patients. Un acte interdit par le code de la santé publique et la loi Informatique et Libertés. Les établissements de santé publics et privés doivent  procéder à l’analyse de leur activité.

Les actes pratiqués à l’occasion de la prise en charge des malades sont ainsi « codés » selon une nomenclature particulière, de sorte qu’à chaque acte possède son code de remboursement par l’assurance maladie. « Afin d’analyser leur activité et de détecter d’éventuelles anomalies de codage, certains établissements ont recours à l’expertise de sociétés extérieures pour procéder à la vérification et à la correction de ces opérations« . Une aide qui permet des remboursements rapides.

Sauf que les entreprises de santé ont oublié qu’en application des dispositions prévues au chapitre X de la loi Informatique et Libertés, les traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention sont soumis à l’autorisation de la CNIL. De tels actes doivent s’opérer dans le respect du secret médical et des droits des malades. La CNIL veille à ce que ces traitements ne portent pas sur les données nominatives des malades.

Le contrôle au Centre hospitalier de Saint-Malo a permis à la CNIL de relever que le prestataire mandaté par l’hôpital a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de 950 patients (informatisés ou en version papier). La mise en demeure du Centre hospitalier de Saint-Malo indique que l’hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.

La CNIL a décidé de rendre publique cette mise en demeure en raison de la sensibilité des données (à savoir des données de santé), de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. Pas de sanction prise, aucune suite ne sera donnée à cette procédure si le Centre hospitalier de Saint-Malo se conforme à la loi dans le délai imparti de 10 jours.

Entreprise, Justice, loi

Un fichier non déclaré à la Cnil est illicite

Un commentaire

Dans un arrêt très court du 25 juin 2013, la Cour de cassation affirme sans ambiguïté qu’un fichier d’adresses qui n’a pas été déclaré à la Commission nationale de l’informatique et libertés a un objet illicite. C’est le site Legalis.net qui revient sur cette affaire jugée par la Cour de Cassation, fin juin. La cour suprême se fonde sur l’article 1128 du code civil qui prévoit qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ». Selon l’article 22 de la loi Informatique et libertés prévoit, tous traitements automatisés de données personnelles doit faire l’objet d’une déclaration, à l’exception de cas définis. Mais la loi n’avait pas prévu explicitement que l’absence de formalité était sanctionnée par la nullité. D’où l’importance de cet arrêt qui conduit à considérer qu’un fichier non déclaré est sans valeur.

Cybersécurité, Entreprise, Particuliers, Piratage

Convention entre la Cyber Police et la CNIL

Les amis du petit déjeuner et la CNIL vont coopérer pour renforcer la lutte contre la cybercriminalité. A quelques jours du Forum International de la CyberSecurité (28 & 29 janvier – Lille), le FIC 2013, l’AFP nous apprend que le ministre de l’Intérieur Manuel Valls et la ministre de l’Economie numérique Fleur Pellerin ont décidé de renforcer la lutte contre la cybercriminalité sur le territoire Français. Pour cela, une convention a été signée. Cette convention a été noircie par les « Amis du petit déjeuner » (terme inventé par zataz.com, ndlr Datasecuritybreach.fr) de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) et la Commission nationale de l’informatique et des libertés. « La Cnil et la police vont coopérer ensemble » souligne le Ministre de l’Intérieur, M. Valls. Parmi les propositions : dialogue avec les dirigeants de Twitter, Facebook et autres réseaux sociaux pouvant regrouper des « vilains ; meilleures coopérations entre les Etats et le privé ; le blocages actifs des sites illicites et quantifier et qualifier le phénomène.