France – PORTAIL RGPD

CNIL

19 mars 2025

Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation

Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour estimer si celle-ci est mineure ou majeure et en informent le commerçant par un témoin lumineux (par exemple une lumière verte ou rouge). Le recours à ces dispositifs poursuit un double objectif d’intérêt public : la protection des plus jeunes et la préservation de la santé publique.

Toutefois, le fait que cette vérification s’effectue par le biais de traitements algorithmiques d’analyse automatisée d’images n’est pas anodin et peut comporter des risques pour la protection des données personnelles et pour la vie privée des personnes. Pour cette raison, la CNIL souhaite analyser la conformité de ces dispositifs au regard de la réglementation applicable en matière de protection des données personnelles (RGPD et loi Informatique et Libertés).

Disponible sur: CNIL.fr

CNIL

13 mars 2025

Ordre du jour de la séance plénière du 13 mars 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 13 mars 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Communication sur la qualification des prestataires de services d’informatique en nuage (« Cloud computing ») et leurs clients ;
* Communication relative au lancement de la concertation sur les outils de « rejeu de session ».

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de convention relative aux transmissions de données de FranceAgriMer à Interhoublon ;
* Examen d’un projet de délibération portant avis sur un projet de convention de mise à disposition d’informations issues du traitement informatique des déclarations mensuelles relatives à la collecte des oléo-protéagineux, de la lentille et du pois chiche.

Disponible sur: CNIL.fr

CNIL

6 mars 2025

Ordre du jour de la séance plénière du 6 mars 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 6 mars 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Présentation sur la stratégie européenne et internationale de la CNIL (2025 à 2028).
* Bilan de l’activité des services des contrôles et proposition de thématiques de contrôle prioritaires.
* Examen d’un projet de délibération portant avis sur un projet d’arrêté portant création d’un traitement automatisé de données à caractère personnel dénommé « CMI Mobilités ».

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif au registre des saisies des rémunérations pris en application de l’article 16 de l’ordonnance n° 2016-728 du 2 juin 2016 relative au statut de commissaire de justice ;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe Worldline ;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « sous-traitant » du groupe Worldline.

Disponible sur: CNIL.fr

L’Usine digitale

6 mars 2025

Cybersécurité : La métropole du Grand Paris victime d’une fuite de données personnelles

La métropole du Grand Paris (MGP), intercommunalité la plus peuplée de France, a été touchée par une cyberattaque. “Au cours du mois de février 2025, la métropole du Grand Paris a constaté que des données à caractère personnel stockées sur ses serveurs avaient été frauduleusement extraites”, explique l’établissement public dans un communiqué transmis à L’Usine Digitale. Selon le média Actu Paris, “5000 personnes, dont 250 agents, 208 élus et l’ensemble des partenaires gravitant autour de la MGP [risquaient] de voir leurs données personnelles (majoritairement des données de contact) divulguées”.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

5 mars 2025

Loi narcotrafic : pourquoi les idées de Bruno Retailleau sur le chiffrement sont dangereuses

Le ministre de l’Intérieur a tenté une explication visant à démontrer que la proposition de loi contre le narcotrafic n’affaiblit pas le chiffrement, car elle n’introduit pas de porte dérobée (backdoor). Il s’avère que le stratagème proposé constitue malgré tout un énorme problème. Même sans backdoor, même sans casser le chiffrement.

Selon lui, les dispositions du texte ne provoquent pas un affaiblissement du chiffrement de bout en bout. « Ce n’est pas une solution ‘backdoor’ », a-t-il lancé, car, selon lui, le texte ne propose pas de créer une faille avec laquelle quelqu’un ou un service de renseignement peut s’infiltrer à tout moment. « C’est l’inverse », a-t-il affirmé. Dans ce système, « on ne va pas s’introduire au milieu de cette communication », a poursuivi le ministre. En revanche, « on va demander à la plateforme de faire aussi, pendant qu’elle utilise ce flux de A à B, de faire de A à C, donc il n’y a pas de faille ». Et de répéter de nouveau « qu’il n’y a pas d’affaiblissement du chiffrement. »

Disponible sur: numerama.com

CNIL

5 mars 2025

Tables Informatique et Libertés : la CNIL met à jour sa doctrine et publie des Cahiers rassemblant les décisions rendues en 2024

La CNIL publie une mise à jour de ses Tables Informatique et Libertés. Elle publie également des Cahiers récapitulatifs de l’année 2024 concentrant ses nouvelles décisions importantes ainsi que l’essentiel de la jurisprudence nationale et européenne en matière de protection des données. Initialement publiées en décembre 2023, les Tables Informatique et Libertés permettent aux professionnels de la protection des données (avocats, délégués à la protection des données…) et aux universitaires d’accéder aux prises de position doctrinales de la CNIL et de juridictions nationales et européennes : Cour européenne des droits de l’homme, Cour de justice de l’Union européenne, Conseil d’État et Cour de cassation.

L’ensemble des décisions est présenté selon un plan thématique facilitant la recherche de précédents. Les noms des organismes concernés ont été enlevés et les points de doctrine sont présentés de façon générale, afin de réduire les risques de réidentification.

Disponible sur: CNIL.fr

CNIL

26 février 2025

« Club conformité » sur les véhicules connectés et la mobilité : la CNIL publie son programme de travail pour 2025

Le « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité a été créé en 2023 comme un lieu d’échanges et de concertations réguliers avec les acteurs du secteur, pour permettre d’instaurer un dialogue régulier sur des problématiques identifiées comme prioritaires et y apporter des réponses concrètes et adaptées aux enjeux juridiques, techniques, sociétaux et économiques. Les premiers travaux du club se sont concentrés sur l’utilisation des données de localisation des véhicules connectés, et vont permettre l’élaboration d’un projet de recommandation, qui sera prochainement soumis à consultation publique.

Les caméras embarquées : la nouvelle thématique de travail dès 2025. Le recours aux caméras embarquées au sein des véhicules (qu’il s’agisse de caméras ajoutées par le propriétaire du véhicule, ou intégrées au véhicule par le constructeur) s’est accru ces dernières années pour répondre à des objectifs très variés (constituer des preuves en cas d’accident, lutter contre le vol ou la dégradation du véhicule, réutiliser les images à des fins de formation à la conduite, etc.). Prenant en compte les nombreuses sollicitations qu’elle reçoit sur ces dispositifs et à l’absence de cadre juridique spécifique, la CNIL a décidé de consacrer les nouveaux travaux du « club conformité » à cette thématique.

Disponible sur: CNIL.fr

CNIL

13 février 2025

Ordre du jour de la séance plénière du 13 février 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 13 février 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen de deux demandes de décisions uniques déposées par l’Agence européenne des médicaments ayant pour finalité la mise en œuvre de projets de recherches dans le domaine de la santé à partir de données du Système national des données de santé ;
* Communication sur la mise en œuvre de caméras augmentées aux fins de lutte contre le vol et de détection des erreurs lors du passage aux caisses automatiques ;
* Communication relative aux travaux à venir dans le secteur de la « silver économie ».

Partie II (sans débats):
* Examen d’un projet de délibération autorisant l’INSTITUT NATIONAL DE LA SANTÉ ET DE LA RECHERCHE MÉDICALE – ANRS – MALADIES INFECTIEUSES ÉMERGENTES à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « ANRS CO4-FHDS SNDS ».

Disponible sur: CNIL.fr

CNIL

11 février 2025

QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales

La société QWANT est une société française qui a lancé son moteur de recherche en 2013. En raison des fortes mesures de protection de la vie privée qu’elle mettait en œuvre, la société estimait que le moteur de recherche ne collectait aucune donnée personnelle lorsque les utilisateurs effectuaient une recherche, notamment dans le cadre de l’affichage de publicités en lien avec l’objet de la recherche. Les données utilisées dans le cadre de la vente des espaces publicitaires du moteur de recherche, opérée via MICROSOFT, étaient donc présentées comme anonymes. Le 15 mars 2019, la CNIL a été saisie d’une plainte à l’encontre de la société QWANT, au motif que les données personnelles collectées constitueraient des données à caractère personnel, et non des données anonymes, et que dès lors la réglementation sur les données à caractère personnel n’était pas respectée.

Sur la base de cette plainte, la CNIL a réalisé en 2019 deux contrôles auprès de la société et qui ont été suivis par de nombreux échanges avec la société. Ces investigations ont permis d’établir que les données personnelles que QWANT transmettait à la société MICROSOFT étaient essentiellement techniques (telles que l’adresse IP tronquée ou l’adresse IP hachée pour constitution d’un identifiant généré par QWANT), afin que MICROSOFT puisse :
* afficher des publicités contextuelles, en lien avec la recherche de l’utilisateur, ne nécessitant par conception pas de traçage dans le temps des activités de l’utilisateur, ni n’alimentant un profil ;
* comptabiliser le nombre d’affichage publicitaire ;
* proposer l’affichage de ses propres résultats de recherche dans le cas où QWANT ne serait pas en mesure de proposer des résultats suffisants, en nombre ou en qualité.

QWANT estimait que les données en question étaient anonymisées mais la CNIL a estimé que tel n’était pas le cas et a considéré qu’li s’agissait seulement de données pseudonymisées. La CNIL a en outre décelé des lacunes du côté de l’information proposée par la plateforme, qui différait d’une langue à une autre. L’autorité a ainsi décidé d’adresser un rappel à l’ordre à QWANT (en tant compte d’éléments de contextes exprimés ci-dessous !)

Disponible sur: CNIL.fr

CNIL

8 février 2025

IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable

Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des données personnelles par les technologies numériques. En Europe, ces règles ont été harmonisées par le règlement général sur la protection des données personnelles (RGPD) dont les principes inspirent de nombreux pays à l’international.

Consciente des enjeux de clarification du cadre juridique, la CNIL s’emploie, à travers l’ensemble de ses actions, à sécuriser les acteurs afin de favoriser l’innovation en IA tout en assurant le respect des droits fondamentaux des Européens. Depuis le lancement de son plan d’action sur l’IA en mai 2023, la CNIL a notamment adopté une série de recommandations pour le développement de systèmes d’IA. Ainsi éclairé et clarifié, l’application du RGPD est un facteur de confiance pour les personnes, et de sécurité juridique pour les entreprises.

Dans cette même optique, la CNIL publie aujourd’hui deux nouvelles recommandations pour un usage de l’IA respectueux des données personnelles, qui confirment que les exigences du RGPD sont suffisamment équilibrées pour appréhender les spécificités de l’IA. Ces recommandations proposent des solutions concrètes et proportionnées pour informer et faciliter l’exercice des droits des personnes. Elles sont disponibles ci-dessous !

Disponible sur: CNIL.fr