Dossier RGPD - Sanctions infligées par la CNIL - DSI et chef de projet IT externalisé sur Nantes.

En cette rentrée, nous vous proposons un dossier spécial RGPD qui recense les sanctions infligées par la CNIL pour non respect du RGPD : Bouygues, Google, Uber, Darty, Hertz. Sachant que cette année, l’action de la CNIL repose sur le respect des droits des personnes, le traitement des données des mineurs et la répartition des responsabilités entre responsable de traitements et sous-traitants.

“L’économie numérique

ne peut prospérer que sur la confiance des utilisateurs et des consommateurs.

Une remise à plat des règles du jeu est nécessaire.

Le RGPD va dans ce sens”.

I – BOUYGUES

BOUYGUES TELECOM : le 27/12/2018, une sanction de 250 000 euros à l’opérateur, pour avoir insuffisamment protégé les données de clients B&You.

La CNIL a réalisé un contrôle dans les locaux de l’opérateur en mars 2018, suite à un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de plus de 2 millions de clients de la marque B&You sur une période de plus de 2 ans.

L’opérateur a reconnu les faits et a très vite réagi : une faille par la simple modification d’une adresse URL sur le site de Bouygues Telecom, réalisée après une phase de test. L’opérateur avait oublié de réactiver sur le site, la fonction d’authentification à l’espace client.

La CNIL fait référence à l’article 34 bis :

Loi “Informatique et Libertés” qui stipule la notion de violation de données à caractère personnel, c’est-à-dire de toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel.

1 – Sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Une revue manuelle de l’ensemble du code du site Web de la société ne peut pas être proportionnée au regard du nombre de lignes composant ce code.L’attention particulière à apporter au mécanisme d’authentification nécessitait une revue manuelle du code portant uniquement cet élément critique. Une telle mesure n’apparaît en effet pas disproportionnée dans ce cas précis, tant au regard des moyens humains et techniques à disposition de la société BOUYGUES TELECOM que des risques encourus par plus de deux millions de personnes concernées par la violation.

2 – sur la sanction et la publicité

La gravité de la violation est caractérisée en raison du nombre de données identifiantes (nom, prénom, date de naissance, adresse de courrier électronique, adresse physique, numéro de téléphone mobile) et d’un nombre très important de personnes concernées par la violation. Elle en relève, en outre, que la durée pendant laquelle, faute de vigilance adaptée, ces données ont été accessibles librement et sans contrôle, a été particulièrement longue.

“Les données sont le pétrole du 21ème siècle”

II – UBER

UBER : le 19/12/2018, une sanction de 400 000 euros pour le géant mondial des chauffeurs, pour ne pas avoir suffisamment sécurisé les données de 57 millions d’utilisateurs de son service, dont 1,4 millions d’utilisateurs français concernés par le vol des données personnelles.

La CNIL précise que UBER aurait dû renforcer le processus d’authentification de ses ingénieurs à la plateforme Github (un ID, un mot de passe, puis un code secret transmis sur Smartphone). Elle ajoute qu’elle aurait dû mettre en place un système de filtrage des IP pour l’accès aux serveurs Amazon Web Services qui comportent les données des utilisateurs. De plus, la société n’aurait pas dû stocker en clair, au sein du code source de Github des identifiants (nom, prénom, adresse mail, ville ou pays de résidence, numéro de téléphone mobile).

La CNIL fait référence à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

1 – sur la qualité de responsable de traitement des sociétés UBER TECHNOLOGIES INC. et UBER B.V.

Un sous-traitant qui acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co-) responsable du traitement qu’un sous-traitant.

C’est bien la société UBER TECHNOLOGIES INC. qui a révélé l’existence de la violation de données au public, qui a géré également les conséquences de la violation de celles-ci. La multitude des champs d’actions dans lesquels sont intervenues les 2 sociétés, témoigne bien du rôle déterminant de celle-ci concernant les finalités et moyens du traitement. Par conséquent, UBER B.V. est également qualifiée de responsable de traitements.

2 – sur le droit applicable

La société UBER FRANCE SAS réalise des campagnes marketing pour promouvoir les services de la société UBER et assure un service de support auprès des clients et des conducteurs. Elle exerce une activité réelle et effective grâce à la fourniture des services des sociétés UBER B.V. et UBER TECHNOLOGIES INC..

Un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement lorsque celui-ci est destiné à assurer l’activité de promotion et de vente des espaces publicitaires pour les besoins d’une entreprise située dans un Etat tiers.

Par conséquent, le traitement en cause doit être regardé comme étant effectué dans le cadre des activités d’un établissement des responsables de traitements que sont les sociétés UBER B.V. et UBER TECHNOLOGIES INC..

3 – sur le destinataire de la mesure

Dès lors qu’un pouvoir dont une autorité de contrôle d’un Etat membre souhaite faire usage, entre dans le champs de cet article 28, paragraphe 3, il peut être exercé à l’égard de l’établissement du responsable de traitement situé sur le territoire de cet Etat membre, quel que soit le type de pouvoir envisagé.

4 – sur le manquement à l’obligation d’assurer la sécurité et la confidentialité des données

En matière d’authentification, il est important de veiller à ce que des identifiants permettant de se connecter de manière sécurisée à des serveurs contenant une grande quantité de données à caractère personnel ne puissent pas être divulgués. Il est donc impératif que de tels identifiants ne soient pas stockés dans un fichier qui ne serait pas protégé, qu’ils ne soients pas enregistrés dans des fichiers de code source.

III – GOOGLE

GOOGLE : le 21/01/2019, une amende record de 50 millions d’euros pour la France, à l’un des géants du Net, pour 2 entraves au règlement : un manque de transparence pour les internautes (informations difficilement trouvables), Google dissémine l’information à laquelle vous avez droit pour que vous ne la trouviez jamais, Google noie le poisson sur le consentement de l’utilisateur, avec Google, vous consentez à donner des infos sans savoir pourquoi.

1 – Faits et procédure

La SARL Google LLC., fondée en 1998 a son siège social situé aux U.S.A.. En France, elle dispose d’un établissement, la société Google France Sarl, basée à Paris.

Les 25 et 28 mai 2018, deux plaintes collectives sont déposées auprès de la CNIL, regroupant les réclamations de 9974 personnes.

L’association None Of Your Business (NOYB) indique que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal.

L’association La Quadrature du Net (LQDN), estime que Google ne dispose pas de bases juridiques valables pour mettre en oeuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.

2 – Motifs de la décision

L’article 4 (16) du RGPD – notion d’établissement principal : en ce qui concerne un responsable du traitement établi dans plusieurs Etats membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas, l’établissement ayant pris de telles décisions est considéré comme l’établissement principal.

La société Google Ireland Limited n’est pas mentionnée dans les Règles de confidentialité de la société en date du 25/05/2018 comme étant l’entité où sont prises les décisions principales quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android.

La société Google Ireland Limited n’a pas désigné de DPD qui serait en charge des traitements des données à caractère personnel qu’elle pourrait mettre en oeuvre dans l’Union Européenne.

Le système d’exploitation Android est uniquement développé par la société Google LLC.

Compte tenu de la nature transfrontalière des traitements de personnalisation de la publicité, du nombre significatif d’utilisateurs d’Android en Europe et des questions soulevées en lien avec ces traitements, les mécanismes de coopération et de cohérence tels que prévus aux articles 60, 64 et 65 du RGPD auraient dû s’appliquer. Le Comité Européen de la Protection des Données aurait dû être saisi, en cas de doute, sur la détermination de l’autorité chef de file.

3 – Les manquements constatés par la formation restreinte

Les informations délivrées aux utilisateurs par la société Google ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension fixés par l’article 12 et que certaines informations rendues obligatoires par l’article 13 ne sont pas fournies aux utilisateurs.

Les informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents qui comportent des boutons, liens (5 ou 6 actions), permettant d’accéder à l’information souhaitée.

Les informations délivrées ne sont pas toujours claires et compréhensibles. Il est très compliqué à l’utilisateur d’accéder facilement à des informations complètes sur la collecte de ses informations pour la personnalisation des publicités ou pour pour sa géolocalisation. Les traitements gérés par Google sont particulièrement massifs et intrusifs en raison du nombre de services proposés (une vingtaine).

L’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. La durée de conservation de certaines données n’est pas mentionnée.

Le consentement recueilli n’est pas “spécifique” et “univoque”. S’agissant des traitements de personnalisation de la publicité, données de géolocalisation, cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces et six, en ce qui concerne la géolocalisation.

Dans ce cas de figure (trop de liens cliquables), la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité à l’information.

De même, le caractère clair et compréhensible des informations délivrées, article 12 du RGPD, doit s’apprécier en tenant compte de la nature de chaque traitement en cause et de son impact concret sur les personnes concernées.

Les données collectées par Google proviennent de sources extrêmement variées (utilisation du téléphone, messagerie Gmail, plateforme de vidéos Youtube, sites tiers utilisant les services Google grâce aux cookies Google analytics déposés sur ces sites).

Concernant l’information relative aux durées de conservation, la page “comment les informations collectées par Google sont-elles conservées”, comporte quatre catégories (informations conservées jusqu’à suppression, délai d’expiration, jusqu’à suppression du compte Google, périodes longues pour des raisons précises).

S’agissant de la dernière catégorie, seules des explications très générales sur la finalité de cette conservation sont fournies et aucune durée précise, ni critères utilisés pour déterminer cette durée ne sont indiqués. Or, cette information figure parmi celles devant être obligatoirement délivrées aux personnes en application du °2 de l’article 13 du Règlement.

Il y a 2 sortes d’entreprises : celles qui ont déjà eu un incident de protection des données, et celles qui en auront bientôt un.

La data est le principal patrimoine de votre entreprise, protégez-la !

IV – DARTY et FILS

DARTY et FILS : le 9/01/2018, une amende de 100 000 euros, à l’encontre du groupe d’électroménager qui a fait appel à un prestataire externe, EPTICA, pour développer un formulaire de demande de service après-vente en ligne (les fonctionnalités du logiciel n’avaient pas été désactivées) ; le prestataire en question n’avait pas mis en place un système de filtrage des adresses URL. Cela aurait évité qu’un tiers non autorisé, puisse accéder aux données clients (soit des centaines de milliers).

1 – Faits et procédure

La société ETS DARTY et FILS a pour activité le commerce de détail d’appareils électroménagers en magasin spécialisé. Celui-ci est situé à Bondy et fait partie du groupe FNAC DARTY.

Lors d’un contrôle en ligne, le 2 mars 2017, la délégation a constaté une défaillance de sécurité dans l’URL (…) via un formulaire en ligne de demande de service après-vente.

912 938 fiches clients de la société étaient librement accessibles avec des données à caractère personnel (nom, prénom, adresse postale, adresse de messagerie, numéro de téléphone,…).

Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par le prestataire EPTICA, commercialisant un logiciel de service après-vente “sur étagère”. La société ETS DARTY et FILS a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident.

2 – Motifs de la décision

L’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et libertés dispose que : le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

La formation restreinte rappelle qu’il résulte de l’article 35 de la loi du 6 janvier 1978 modifiée que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte.

Il appartenait à la société, en sa qualité de responsable de traitement, de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité énoncée à l’article 34 de la loi précitée. En application de règles de bonnes pratiques en matière informatique, il revenait à la société de faire désactiver tous les modules inutilement mis en oeuvre par son prestataire.

Si la formation restreinte prend acte de l’absence de traitement de données sensibles telles que définies à l’article 8 de la loi du 6 janvier 1978 modifiée ou de données bancaires, pour autant, elle considère que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées.

Comme pour les stylos qui n’écrivent plus, il est inutile de conserver toutes les données.

Personne ne s’en servira jamais et vous perdrez du temps à trouver le seul qui fonctionne.

V – HERTZ FRANCE

HERTZ France : le 27/07/2017, la société spécialisée dans la location de véhicules écope d’une amende de 40 000 euros, suite à une erreur (suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements) commise par son sous-traitant.

Les données personnelles de plus de 40 000 clients étaient en accès sur internet sur le site “www.cartereduction-hertz.com”. C’est la première fois qu’une sanction pécuniaire est prononcée pour violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016.

1 – Faits et procédure

La société HERTZ FRANCE a été créée en 1950, est située à Montigny-le-Bretonneux. Elle a pour activité la location de véhicules aux particuliers et aux professionnels. C’est une filiale détenue à 100 % par la société THE HERTZ CORPORATION située aux U.S.A..

Le 15 octobre 2016, l’éditeur du site Web www.zataz.com a informé la CNIL que le traitement de données à caractère personnel accessible à partir de l’URL (…) permettrait une violation des données de plus de 40 000 clients de la société HERTZ FRANCE.

Dans le cadre de ses activités, la société a créé en 2011 un programme proposant des réductions sur les locations de véhicules pour lequel a été conçu le site Web ci-dessus mentionné.

La délégation a alors constaté qu’en ajoutant à cette adresse URL la chaîne de caractères (…) et un numéro correspondant à un identifiant, les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au programme de réduction (nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique, numéro de permis de conduire). Celle-ci a pu accéder aux données à caractère personnel de 35 327 personnes.

En effet, le sous-traitant a confirmé à la délégation de contrôle que la violation de données avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs, causant le ré affichage du formulaire contenant l’ensemble des données à caractère personnel renseignées par les personnes s’inscrivant au programme de réduction.

2 – Motifs de la décision

L’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée mentionne que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

La formation restreinte relève que la société a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à un volume important de clients (mentionnés ci-dessus).

La sécurité des données se paye un peu avant,

beaucoup après.

VI – VECTAURY

VECTAURY : le 8/11/2018, l’entreprise française qui emploie 70 personnes, spécialisée dans le ciblage publicitaire via les applications mobiles est épinglée par la CNIL. En effet, celle-ci avait exploité les données d’utilisateurs de smartphones sans accord clair de leur part, en accédant aux données de géolocalisation à des fins publicitaires. Le 26 février 2019, la Commission nationale de l’informatique et des libertés a levé la sanction contre VECTAURY, suite à un contrôle et modifications apportées par la société.

1 – Faits et procédure

La société VECTAURY créée en 2014, est située à Paris. Cette start-up s’appuie sur une technologie dénommée SDK (morceaux de codes) afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

Elle reçoit également des offres d’enchères en temps réel pour de l’espace publicitaire provenant d’applications tierces, avec lesquelles, elle n’a aucun lien commercial.

La CNIL a constaté que la société collecte des données de géolocalisation à travers son SDK (exemple : appli de Météo France).

La société conserve également, en vue de traitements ultérieurs, des données de géolocalisation contenues dans les enchères publicitaires qu’elle reçoit d’applications ayant ou non installé son SDK. Dans ces deux cas, le consentement des personnes n’est pas valablement recueilli.

De tels traitements constituent un risque particulier au regard de la vie privée en ce qu’ils sont révélateurs des déplacements des personnes et de leurs habitudes de vie.

La publicité se justifie également par le nombre massif de personnes susceptibles d’être impactées par le traitement mis en oeuvre par la société VECTAURY compte tenu du fait qu’une partie important de la population est en possession d’un smartphone.

le DSK est intégré à une vingtaine d’applications mobiles et permet la collecte des données de géolocalisation des personnes environ toutes les 5 minutes.

Le système d’enchère d’espace publicitaire a permis à la société de recueillir plus de

42 934 160 identifiants publicitaires et les données de géolocalisation correspondantes à partir de plus de 32 708 applications.

2 – Décision

La CNIL a décidé de rendre publique la décision n° MED-2018-042 mettant en demeure la société VECTAURY.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. A ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti, soit 3 mois à compter de la notification mentionnée ci-dessus.

“Si pertinentes sont les données que tu traites,

en efficacité tu gagneras.”

VII – Société JEAN-MARC PHILIPPE

La société JEAN MARC PHILIPPE est une S.A. de prêt-à-porter, spécialisée dans la création de grande taille. Elle emploie 30 personnes réparties au siège social à Paris et dans ses trois magasins parisiens.

Le 13 décembre 2007, la CNIL a été saisie d’une plainte d’une personne faisant part de l’absence de déclaration d’un système de vidéosurveillance ainsi que de divers abus de ce système.

Les caméras filmaient en continu les lieux, ouverts ou non au public, y compris les pièces réservées au personnel où aucun matériel n’est stocké et une réserve où se changent les les salariés.

Le directeur général a tenté de s’opposer à un contrôle de la CNIL. La sanction a été à la hauteur des fautes : 5 000 € d’amende pour délit d’entrave par le Tribunal correctionnel de Paris (art. 44 de la loi du 6 janvier 1978) et la société à 10 000 € d’amende administrative.

1 – Faits et procédure

La CNIL a constaté qu’un système de vidéosurveillance, composé de 23 caméras installées en 1980 et 2007 était implanté au sein des trois magasins et du siège social. Les images sont enregistrées en continu sur un support numérique.

Au sein du siège social, onze caméras filmaient les lieux ouverts au public (portes d’accès, magasin situé au rez-de-chaussée et premier étage) et les lieux réservés au personnel où aucune marchandise n’est stockée (couloirs, réserve, ateliers de création).

Le logiciel de supervision était accessible sans mot de passe sur la station de supervision de l’accueil. Deux des serveurs (“magasin” situé au sous-sol et “DNS/antivirus” situé au troisième étage) étaient libres d’accès (pas de vérouillage de la porte d’accès ni de la session). Le logiciel de vidéosurveillance était paramétré pour conserver les images pendant 7 jours.

Quant à l’information des personnes, il a été constaté que le panonceau d’information faisant référence à la loi du 21 janvier 1995 ainsi qu’au décret du 17 octobre 1996 était apposé derrière le guichet du rez-de-chaussée du magasin de façon peu visible et qu’aucun affichage ne figurait sur la porte d’entrée de l’établissement. L’information prévue à l’article 32 de la loi du 6 janvier 1978 modifiée n’était pas non plus suffisamment délivrée aux salariés.

2 – Décision

Sur le manquement à l’obligation de veiller au caractère loyal et licite des données et de ne pas les traiter de manière incompatible avec la finalité déterminée, article 6 de la loi n° 78-17 du 6 janvier 1978.

Dans sa délibération n° 2008-155 du 29 mai 2008, la CNIL avait mis la société en demeure d’une part, de prendre toutes les mesures nécessaires afin que la mise en oeuvre du système de vidéosurveillance soit strictement limitée à l’objectif de lutte contre le vol et ne conduise pas à placer les salariés sous une surveillance constante et d’autre part, de retirer les caméras dont la présence n’était pas justifiée par cet impératif de sécurité des lieux.

Sur le manquement à l’obligation d’information des personnes :

La CNIL rappelle qu’aux termes de l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée, “le responsable du traitement est tenu d’informer les personnes concernées par le traitement, notamment de sa finalité, du caractère obligatoire ou facultatif des réponses, des destinataires des informations ainsi que de leurs droit d’accès, de rectification et, le cas échéant, d’opposition”.

Sur le manquement à l’obligation de sécurité des données :

La CNIL rappelle que l’article 34 de la loi du 6 janvier 1978 modifiée dispose que “le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”.

LES DURÉES DE CONSERVATION TU DEVRAS MAITRISER,

OU EN NON CONFORMITÉ TU SERAS

VIII – Société ASSISTANCE CENTRE D’APPELS

La société ASSISTANCE CENTRE D’APPELS, est une société par actions simplifiée, dont le siège social se situe à St Jacques Sur Darnetal (76160). Celle-ci est spécialisée dans la télésurveillance d’ascenseurs et de parking et emploie 14 personnes.

Lors d’un contrôle dans ses locaux fin 2016, la CNIL a constaté que la société avait mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) à des fins de contrôle des horaires des salariés, sans autorisation préalable.

Elle a également constaté, qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés.

Enfin, il a été constaté que les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique.

La formation restreinte a décidé de prononcer une sanction pécuniaire d’un montant de

10 000 euros à l’encontre de la société.

1 – Faits et procédure

La formation restreinte a considéré notamment que la société avait illégalement maintenu en état de marche le dispositif de pointage biométrique. Celles-ci font l’objet d’un régime juridique particulièrement protecteur et que, sauf circonstances exceptionnelles, de telles données ne peuvent pas être utilisées par les employeurs contrôler les horaires des salariés.

Les personnes concernées restaient insuffisamment informées de leurs droit concernant le dispositif d’enregistrement des appels, et que les mesures de sécurité appliquées aux postes de travail restaient insuffisantes (le mot de passe d’accès au logiciel (…) n’avait pas été modifié depuis 2011).

2 – Décision

2.1 Ne collecter et traiter que de données adéquates

pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (cesser d’utiliser le dispositif biométrique).

2.2 Procéder à l’information des personnes concernées

(article 32 de la loi du 6 janvier 1978)

2.3 Procéder à l’information des salariés

mentions relatives à l’identité du responsable de traitement, finalité, destinataires des données issues du dispositif, durée de conservation des données traitées ainsi que les droits des personnes concernées. Le droit d’opposition peut en l’espèce prendre la forme d’une désactivation de l’enregistrement ou d’un accès à une ligne téléphonique non reliée au système d’enregistrement pour l’émission d’appels personnels ou internes à la société.

2.4 Procéder à l’information des interlocuteurs

en cas d’appels sortants et entrants (mention orale en début de conversation…..).

2.5 Prendre toute mesure nécessaire

pour garantir la sécurité et la confidentialité des données à caractère personnel traitées, notamment en : mettant en place une politique rigoureuse et contraignante des mots de passe robustes pour l’accès à l’environnement Windows, au logiciel (…), ainsi qu’à l’outil de gestion de la société (…).

Les droits des personnes tu respecteras,

ou du côté obscur de la force tu passeras

IX – Société BDE

La société BDE est une S.A.R.L. située à Pantin (93500) et a pour activité la réalisation de travaux d’étanchéité. Elle emploie 3 salariés.

Le 11 mars 2015, la CNIL a été saisie d’une plainte d’une salariée de la société dénonçant l’installation à son insu, d’un système de vidéosurveillance au-dessus de son poste de travail.

Par courrier du 3 juin 2015, la CNIL a demandé à la société BDE ses observations sur le dossier en lui précisant qu’elle devait veiller, en sa qualité de responsable de traitement au sens de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, ainsi qu’à la conformité de ce dispositif de vidéosurveillance et/ou vidéoprotection à la législation.

En l’absence de réponse de la société BDE, la CNIL a prononcé à l’encontre de celle-ci, une sanction pécuniaire de 1.000 euros.

1 – Faits et procédure

En l’absence de réponse, la CNIL a rappelé à la société les termes de l’article 21 de la loi Informatique et Libertés qui dispose que les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la Commission ou de ses membres et doivent prendre toutes mesures utiles pour faciliter sa tâche

2 – Décision

La CNIL demande à la société BDE, de ne collecter que des données non excessives et pertinentes, à savoir, de ne pas placer les personnes travaillant pour la société sous une surveillance permanentes, de sécuriser l’accès au logiciel de visualisation des images (renforcer la sécurité des mots de passe).

2.1 Obligation de coopération

Au vu des manquements constatés, la Présidente de la CNIL a mis en demeure la société BDE, par décision n° 2016-068 du 3 octobre 2016, de se mettre en conformité avec la loi Informatique et Libertés. Elle lui a ainsi enjoint de procéder à une déclaration normale auprès de la CNIL du dispositif de vidéosurveillance installé dans les locaux de la société ; de prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données à caractère personnel traitées, notamment en veillant à définir une politique de mots de passe robuste et un renouvellement régulier.

2.2 Sur le manquement à l’obligation de répondre aux demandes de la CNIL

La CNIL relève que durant 1 an ½, la société n’a répondu à aucun des 7 courriers qui lui ont été adressés. Ce comportement démontre un défaut manifeste de prise en compte des questions Informatique et Libertés liées au traitement des données à caractère personnel de l’article 21 de la loi du 6 janvier 1978 modifiée.

Ô rage ! ô désespoir

des entreprises sur les données personnelles

X – ADEF

L’ADEF (Association pour le Développement des Foyers) est une association de droit privé à but non lucratif. Elle est située à Ivry-sur-Seine (94200) et emploie 270 salariés. Elle a pour mission la mise à disposition de logements dans des résidences et foyers pour personnes en difficulté sociale, notamment des étudiants, des familles monoparentales et des travailleurs migrants.

En juin 2017, à la suite d’un contrôle en ligne, la CNIL a pu constater qu’en modifiant la structure de l’URL du site de l’ADEF, il était possible de récupérer les noms, prénoms, dates de naissance, coordonnées postales, numéro d’inscription au répertoire national d’identification des personnes physiques, IBAN, salaires, revenu fiscal de référence, versement d’une aide personnalisée au logement ou d’une allocation aux adultes handicapés, concernant les bénéficiaires.

La CNIL a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avant manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés

1 – Faits et procédure

Au cours du contrôle, la délégation a effectué une demande de logement en renseignant le formulaire présent sur le site Web de l’association http://www.adef-logement.fr et a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres demandeurs.

Celle-ci a également effectué la recherche suivante directement au sein du moteur de recherche Google site : adef-logement.fr filetype:pdf impôt et a constaté que des avis d’imposition sur les revenus figuraient dans la liste de résultats affichée.

La CNIL relève qu’il ressort des pièces du dossier qu’à la date de l’incident de sécurité,

42 652 documents étaient stockés sur le disque dur de l’association avec les formulaires de demande remplis par les utilisateurs.

L’incident a impacté un grand nombre de personnes et a rendu accessible un grand nombre de documents.

2 – Décision

2.1 Sur les motifs de nullité de la procédure

soulevés par l’association :

L’association méconnaît le I de l’article 45 de la loi du 6 janvier 1978 modifiée par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

2.2 Sur le manquement à l’obligation d’assurer la sécurité

des données au titre de l’article 34 de la loi du 6 janvier 1978 modifiée :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

2.3 Sur la sanction et la publicité

Certaines informations accessibles relèvent de la vie privée dès lors que les documents permettent de connaître le salaire des personnes, leur revenu fiscal de référence, leur statut marital ou leur nombre d’enfants et de savoir si elles perçoivent l’aide personnalisée au logement.

Qu’en est-il du RGPD, un an après ?

1 – Une explosion du nombre de plaintes

qui s’explique par l’effet médiatique du RGPD et une sensibilité accrue des citoyens.

La CNIL a reçu plus de 11 900 plaintes depuis mai 2018 dont les tendances émergentes sont :

le visionnage à distance des images issues des dispositifs vidéo,
l’installation de caméras dans des unités de soin,
le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données,
une sensibilité accrue des citoyens concernant la sécurité de leurs données personnelles dans tous les secteurs,
des craintes d’utilisateurs d’ordiphone concernant les données auxquelles les applications mobiles peuvent avoir accès.

2 – Ces plaintes portent sur :

La diffusion de données sur internet (373 demandes de déréférencement, droit désormais consacré par le RGPD). Il s’agit pour les personnes de demander la suppression de données les concernant sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes, etc.).

Ces plaintes traduisent les difficultés rencontrées par les personnes pour maîtriser leur vie numérique, et notamment leur réputation en ligne : 35,7 %.

Le secteur marketing/commerce : 21 %
Les ressources humaines : 16,5 %
La banque et le crédit : 8,9 %
Le secteur santé et social : 4,2 %.

3 – Des plaintes contre les géants du Net

Certaines sortent du lot, notamment celles visant Google ou Quantcast, ont déclenché des enquêtes de l’autorité irlandaise de protection des données. La CNIL s’est penchée sur les plaintes de la Quadrature du Net et de Noyb en infligeant une amende de 50 millions d’euros à Google.

4 – Des sanctions encore timides

C’est la principale nouveauté introduite par le RGPD : les autorités de contrôle disposent désormais de pouvoirs de sanction démultipliés. L’amende que peut infliger la CNIL peut théoriquement atteindre 4 % du chiffre d’affaires mondial en cas de manquement grave.

5 – Les géants du numérique dans le viseur

Le discours s’est toutefois musclé ces derniers mois. Les services de l’autorité irlandaise de protection des données ont instruit ces derniers mois 52 enquêtes d’ampleur, dont 18 concernent de grandes entreprises américaines du numérique.

6 – Aura internationale

En un an, le RGPD s’est imposé comme un standard international de la protection des données. Il a inspiré l’Etat de Californie, aux Etats-Unis, dans l’écriture de son propre texte.

EN 2019,

l’action de la CNIL reposera sur 3 grandes thématiques

Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, etc…).

S’agissant de son programme annuel des contrôles qui représente environ ¼ de ses investigations, la Commission a souhaité concentrer son action cette année sur 3 grandes thématiques, directement issues de l’entrée en application du RGPD :

1. le respect des droits des personnes

En 2018, environ 73 % des plaintes reçues par la CNIL portaient sur le non-respect de l’exercice d’un droit. La CNIL souhaite ainsi s’assurer de l’application effective des droits dont disposent les personnes concernées, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD tel que le droit à la portabilité ds données. Elle s’assurera qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes.

2. le traitement des données des mineurs

La CNIL souhaite apporter une attention particulière à ce public “vulnérable” au sujet duquel elle reçoit régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux ou la mise en oeuvre de traitements biométriques dans les écoles.

3. La répartition des responsabilités entre responsable de traitements et sous-traitants.

Sous l’empire de la loi Informatique et Libertés, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la CNIL pour des manquements à la protection des données. Désormais, le RGPD prévoit de nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables. Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de la mise en oeuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements.

BILAN DU RGPD EN 2018

Le règlement a certainement été le sujet de l’année ! Le RGPD a profondément changé la manière dont les entreprises traitent les données pour aussi bien les entreprises du CAC 40 que pour les TPE/PME. Globalement, nous constatons que les entreprises ont commencé l’adaptation au RGPD à travers plusieurs changements :

la notification des violations de données

la mise en place d’une gouvernance sur la protection des données

Très peu d’entreprises avaient une véritable gouvernance autour de la protection des données avant le RGPD ; elles étaient confiées au département juridique ou au CIL (Correspondant Informatique et Libertés).

la mise à jour des politiques de confidentialités

La plupart des entreprises ont également dû procéder à une révision de leurs politiques de vondidentialités et mentions légales.

la sensibilisation du règlement au sein de l’entreprise

Vous avez peut-être remarqué au sein de votre entreprise, la sensibilisation de la protection des données entre collaborateurs était importante, que ça soit ds modules e-learning, des formations ou bien diverses communications internes.

les prédictions et tendances de la RGPD en 2019

Dans l’Oregon par exemple, le sénateur Ron Wyden a récemment introduit le “Consumer Data Privacy Act”. Il y a également le Japon, la Corée et la Tunisie qui adoptent les règlements similaires au RGPD.

R G P D, c’est quoi ?

Les 5 règles du RGPD tu respecteras

Vous travaillez beaucoup et vous avez envie de vous distraire. Cela tombe bien, abordons ensemble 5 points clés concernant le RGPD et ses conséquences pour votre site internet.

Règlement Général pour la Protection des Données

1. Informer sur la collecte des données tu dois

Avec le RGPD, vous devrez informer clairement le visiteur de votre site internet de la collecte de données que vous effectuez.

Comme c’est déjà le cas pour les cookies, vous devez demander le consentement de manière explicite à l’internaute pour la collecte/traitement de données personnelles telles que :

L’adresse IP, prénom, nom, et cela sur toutes les pages où sont situées des formulaires (par exemple : page contact, page devis….)

De plus, pour chaque formulaire, vous devrez préciser :

Les données collectées
La finalité de la collecte
La durée de conservation des données

Par ailleurs, vous devrez également informer l’internaute qu’il a un droit d’accès à ses données et la manière dont il peut y accéder :

par e-mail
téléphone, courrier…

Il est possible de préciser ces informations, soit sur chaque page individuellement ou par le biais de “mentions légales” sur une page et en y faisant référence.

2. Obtenir un consentement explicite tu devras

Le règlement insiste particulièrement sur l’obtention du consentement explicite de l’internaute.

Vous n’avez plus le droit de mettre des messages, tels que :

“En poursuivant votre navigation, vous acceptez…”.

Les cases pré-cochées par défaut sont également interdites. L’accord ne doit permettre aucune ambiguïté.

Le RGPD stipule précisément : “le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque, son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique ou d’une déclaration orale”.

En pratique : vous devez donc avoir un bouton : “Autoriser” et “Refuser”.

Mais vous avez le droit de demander le consentement, soit de manière globale, pour tous les services avec une page explicative de l’ensemble des services concernés, soit de le traiter, un service à la fois.

Le RGPD stipule aussi que tout responsable de traitement doit apporter la preuve du consentement de la personne qui aurait accepté un traitement.

Vous devrez donc enregistrer et conserver la preuve.

Par ailleurs, l’internaute doit disposer d’un lien vers une page détaillant la collecte de données. Il est important de noter que pour être conforme au RGPD, votre site doit permettre aux internautes de consentir au traitement de leurs données lorsque vous utilisez des services sur votre site (exemple : Google Analytics, Adsense, Adwords,…) qui collectent et traitent les données suivantes :

Nom, prénom
Adresse IP
Données de localisation (traceur)
Adresse courriel
Adresse postale
Numéro de téléphone
Numéro d’identification / mot de passe
Données sensibles comme les données sur le physique des personnes, etc.

N’oubliez donc pas de désactiver tous les services annexes et widgets (Google Analytics, Carte Google Map,…) tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur ait cliqué sur “Refuser”!

Le droit à l’oubli ou “droit à l’effacement” :

Il est important aussi de noter que l’utilisateur doit avoir un droit d’accès permanent et de contrôle sur ses propres données. L’article 17 du Règlement Général Européen sur la Protection des Données (RGPD) concernant le “droit à l’effacement” (aussi connu sous le nom de “droit à l’oubli”), permet aux individus de demander la suppression de leurs données personnelles aux entreprises qui les détiennent.

3. La durée du consentement tu donneras

Pour la collecte et le traitement des données, le consentement donné n’a pas de limite de validité. Il est valable tant que l’utilisateur ne change pas d’avis. Mais le consentement pour les cookies a toujours une durée maximale de 13 mois.

4. Protéger la transmission des données personnelles tu veilleras

Vous devez vous assurer de la sécurité dans la transmission des données lorsqu’un internaute transmet des informations personnelles comme :

son nom,
son prénom,
son adresse e-mail ou son téléphone,
son adresse, …

Votre site doit donc être en https:// et non en http://.

5. Les mentions juridiques de votre site tu indiqueras

Pour qu’il soit conforme au RGPD, les “mentions légales” de votre site doivent être mises à jour.

Le règlement énonce également que les “mentions légales” propres aux traitements de données personnelles sur votre site internet doivent être fournies “au moment où les données sont obtenues”.

Des sanctions importantes en cas de non-respect du RGPD.

Il faut rappeler qu’en cas de non-respect du RGPD, les organisations risquent des sanctions financières allant jusqu’à 20 millions d’euros d’amendes ou 4 % du chiffre d’affaires annuel.