CNIL

CNIL

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informatique et Libertés (article 82) ainsi qu’à la lumière de ses lignes directrices, de la recommandation sur les traceurs et du rapport final dédié aux bannières cookies adopté par le Comité européen de la protection des données (CEPD) le 17 janvier 2023.

C’est sur la base de ces éléments qu’à l’issue de l’instruction de plaintes, la CNIL a mis en demeure plusieurs éditeurs de site web de modifier leur bannière car :
* la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter ;
* ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 12 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 12 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Examen d’un projet de délibération portant avis sur un projet d’arrêté autorisant la création d’un traitement automatisé dénommé « DALIA » ;
* Communication sur l’Assemblée mondiale pour la protection de la vie privée (GPA en anglais) après sa réunion annuelle à Jersey fin octobre 2024 ;
* Communication sur la situation de l’Association Francophone des Autorités de protection des données (AFAPDP) après sa réunion à Jersey le 28 octobre 2024 ;
* Communication relative au projet de certification européenne pour les sous-traitants, porté par la CNIL ;
* Présentation du projet de règlement européen établissant des règles de procédures supplémentaires relatives à l’application du RGPD ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 10 août 2016 autorisant la création d’un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;

Partie II (sans débats) :
* Examen d’un projet de délibération portant avis sur un projet de décret sur la création d’un traitement de données à caractère personnel relatif au modèle de financement des établissements et services sociaux et médico-sociaux accompagnant des personnes mineures et jeunes en situation de handicap ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 janvier 1993 autorisant la mise en place d’un système automatisé permanent d’information sur les retraites ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 12 mai 2022 relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé.

Disponible sur: CNIL.fr

CNIL

Publicités insérées entre les courriels : sanction de 50 millions d’euros à l’encontre de la société ORANGE

Le 14 novembre 2024, la CNIL a sanctionné la société ORANGE d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement. ORANGE met à disposition de ses clients un service de messagerie électronique (« Mail Orange »). À la suite de plusieurs contrôles, la CNIL a constaté que la société affichait, entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE). Par ailleurs, les contrôles réalisés par la CNIL ont également permis de constater que, lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.

Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :
– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard.
Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées (plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception) ainsi que de la position de la société sur le marché, qui est le premier opérateur de télécommunications en France. La formation restreinte a également tenu compte de l’avantage financier tiré du manquement relatif aux publicités insérées entre les courriels.

Disponible sur: CNIL.fr

CNIL

Consultation publique sur les référentiels santé : la CNIL publie la synthèse des contributions

La première étape de la refonte des référentiels « santé » adoptés par la CNIL touche à sa fin avec la présentation des résultats de la consultation publique à tous les acteurs impliqués. Celle-ci a permis d’établir un bilan de ces référentiels et de recueillir les besoins d’évolution des organismes qui mettent en œuvre des traitements dans le domaine de la santé. Des éléments plus détaillés, sur chaque thématique couverte par le questionnaire ayant servi de support à la consultation, seront présentés dans le cadre du webinaire organisé par la CNIL le 10 décembre prochain. Il permettra à toutes les personnes intéressées de poser des questions avant la constitution de groupes de travail.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 5 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 5 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen de deux projets de délibération sur portant avis sur deux projets de décrets relatifs aux systèmes d’information France Travail et I-MILO et portant diverses dispositions relatives aux traitements de données à caractère personnel dans le champ de l’emploi, de l’insertion et de la formation professionnelle ;
* Examen de deux projets de délibération portant avis sur :
– un projet de décret autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « traitement de sécurité de la direction générale de la sécurité extérieure (SECU) » ;
– un projet de décret autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « traitement de gestion et de recrutement du personnel de la direction générale de la sécurité extérieure » (PERS-CM).

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur le projet de décret relatif à la remise en bon état d’usage de certains dispositifs médicaux

Disponible sur: CNIL.fr

CNIL

Utilisation de BriefCam et d’autres logiciels d’analyse vidéo par l’État et des communes : la CNIL prononce plusieurs mises en demeure

Dans son plan stratégique 2022-2024, la CNIL a consacré une de ses thématiques prioritaires de contrôle à certains usages des logiciels d’analyse automatique d’images. En novembre 2023, le journal Disclose avait publié une enquête indiquant que les services du ministère de l’Intérieur et des communes utilisaient un logiciel d’analyse vidéo de la société BriefCam, avec reconnaissance faciale. En conséquence, dès décembre 2023, la CNIL a décidé de contrôler quatre services du ministère de l’Intérieur. L’inspection générale de l’administration avait également été missionnée par le ministère de l’Intérieur et a rendu public son rapport le 28 octobre 2024.

En plus des contrôles menés auprès du ministère, la CNIL a engagé une série de contrôles auprès de huit communes ayant recours à ce type de technologies, afin de vérifier les cas d’usage mis en œuvre et le respect du cadre légal en vigueur. La CNIL a notamment constaté les éléments suivants:
– La CNIL considère que ces logiciels d’analyse vidéo sont des traitements de données personnelles dont l’utilisation peut relever de la législation des logiciels de rapprochement judiciaire (LRJ). Leur usage est légal et strictement encadré par les dispositions du code de procédure pénale. Les engagements de conformité au « référentiel LRJ » n’ont été transmis que tardivement à la CNIL, parfois plusieurs années après le début de leur mise en œuvre, ou ne l’ont pas encore été.
– Lors d’une mise à jour du logiciel BriefCam, l’éditeur a par ailleurs intégré une fonctionnalité « reconnaissance faciale » qui a donc, dans les faits, été mise à disposition de certains des services du ministère de l’Intérieur. Bien que des instructions ou des positions du ministre aient pu rappeler que leur usage est illégal, la CNIL a été informée d’un cas ponctuel d’utilisation de cette fonctionnalité, pour une enquête judiciaire.
– Un usage permettant la détection automatisée de situations laissant présumer une infraction sur le domaine public (stationnement interdit, circulation en contre-sens, etc.) ou d’évènements considérés comme « anormaux » ou potentiellement dangereux (attroupements d’individus, etc.).

Au regard de ces éléments, la CNIL a adressé des mises en demeure au Ministère de l’Intérieur ainsi qu’à six communes afin qu’ils mettent fin aux manquements constatés.

Disponible sur: CNIL.fr

CNIL

IA : votre assistant vocal connaît-il votre vie privée ?

Informations sur notre santé, sur nos préférences alimentaires, sur nos amis et notre famille : sans nous en rendre compte, nous pouvons confier de nombreuses données personnelles aux assistants vocaux. La CNIL a mené une expérience avec trois étudiants.

Accompagnée de la Fédération des centres sociaux de Vendée et de leur café mobile, la CNIL s’est rendue sur une place publique à La Roche-sur-Yon pour proposer à plusieurs passants d’échanger avec Germain, « un nouvel assistant vocal utilisant de l’intelligence artificielle ». Intrigués par le dispositif, les habitants ont interrogé l’assistant sur leurs besoins quotidiens : rechercher le numéro de téléphone d’une agence de voyages, savoir comment arrêter de fumer, identifier des circuits de vélo autour de son domicile ou encore savoir s’ils allaient réussir leurs examens, etc. À l’issue des échanges, les participants ont pu découvrir qu’ils avaient en réalité parlé avec un agent de la CNIL, caché dans un lieu à proximité, et qu’ils avaient confié de nombreuses données personnelles au fil de la discussion, parfois sans s’en rendre compte.

Disponible sur: CNIL.fr

CNIL

Non-désignation d’un délégué à la protection des données : clôture de la procédure à l’encontre de la commune de KOUROU

La commune de KOUROU, comme toute autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). La CNIL lui avait rappelé cette obligation à plusieurs reprises, successivement par une mise en demeure puis par une décision de sanction simplifiée. En raison de la persistance des manquements (absence de désignation de DPO et défaut de réponse à la CNIL), une procédure de sanction ordinaire avait été engagée. Ainsi, dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte avait assorti l’injonction d’une astreinte, c’est-à-dire une somme d’argent à payer en cas de non-respect d’une décision, de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, constatant que la commune de KOUROU n’avait toujours pas désigné un délégué à la protection des données, la formation restreinte avait alors procédé à la liquidation de l’astreinte (c’est-à-dire l’amende pour les jours de retard) pour un montant de 6 900 euros, correspondant à la période du 19 février 2024 au 4 avril 2024. Elle avait rendu cette décision publique, sans que cela mette fin à l’injonction.

Le 7 novembre 2024, la CNIL a clos la procédure d’injonction prononcée à l’encontre de la commune de KOUROU. Cette dernière s’est en effet conformée à son obligation de désigner un délégué à la protection des données après avoir payé deux amendes.

Disponible sur: CNIL.fr

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

Retour en haut