France

CNIL

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informatique et Libertés (article 82) ainsi qu’à la lumière de ses lignes directrices, de la recommandation sur les traceurs et du rapport final dédié aux bannières cookies adopté par le Comité européen de la protection des données (CEPD) le 17 janvier 2023.

C’est sur la base de ces éléments qu’à l’issue de l’instruction de plaintes, la CNIL a mis en demeure plusieurs éditeurs de site web de modifier leur bannière car :
* la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter ;
* ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 12 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 12 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Examen d’un projet de délibération portant avis sur un projet d’arrêté autorisant la création d’un traitement automatisé dénommé « DALIA » ;
* Communication sur l’Assemblée mondiale pour la protection de la vie privée (GPA en anglais) après sa réunion annuelle à Jersey fin octobre 2024 ;
* Communication sur la situation de l’Association Francophone des Autorités de protection des données (AFAPDP) après sa réunion à Jersey le 28 octobre 2024 ;
* Communication relative au projet de certification européenne pour les sous-traitants, porté par la CNIL ;
* Présentation du projet de règlement européen établissant des règles de procédures supplémentaires relatives à l’application du RGPD ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 10 août 2016 autorisant la création d’un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;

Partie II (sans débats) :
* Examen d’un projet de délibération portant avis sur un projet de décret sur la création d’un traitement de données à caractère personnel relatif au modèle de financement des établissements et services sociaux et médico-sociaux accompagnant des personnes mineures et jeunes en situation de handicap ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 janvier 1993 autorisant la mise en place d’un système automatisé permanent d’information sur les retraites ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 12 mai 2022 relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé.

Disponible sur: CNIL.fr

NOYB – None of your business

BeReal : L’application qui n’accepte pas de réponse négative 

Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l’utilisation de leurs données personnelles à des fins publicitaires. Jusqu’ici, tout va bien, mais BeReal veut imposer un choix précis : si les utilisateurs cliquent sur « accepter », ils ne verront plus jamais la bannière de consentement. En revanche, s’ils osent cliquer sur « rejeter », la bannière apparaîtra tous les jours – jusqu’à la fin de leur vie, ou jusqu’à ce qu’ils cliquent sur le bouton « droit » et acceptent. La dernière tendance en matière de « dark pattern » est d’ennuyer les gens pour qu’ils acceptent.

A person holding a hammer tries to hit buttons labeled "NO", but doesn't manage to do it. Above, there is the slogan "Agree to tracking?"

Disponible sur: noyb.eu

CNIL

Publicités insérées entre les courriels : sanction de 50 millions d’euros à l’encontre de la société ORANGE

Le 14 novembre 2024, la CNIL a sanctionné la société ORANGE d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement. ORANGE met à disposition de ses clients un service de messagerie électronique (« Mail Orange »). À la suite de plusieurs contrôles, la CNIL a constaté que la société affichait, entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE). Par ailleurs, les contrôles réalisés par la CNIL ont également permis de constater que, lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.

Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :
– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard.
Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées (plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception) ainsi que de la position de la société sur le marché, qui est le premier opérateur de télécommunications en France. La formation restreinte a également tenu compte de l’avantage financier tiré du manquement relatif aux publicités insérées entre les courriels.

Disponible sur: CNIL.fr

CNIL

Consultation publique sur les référentiels santé : la CNIL publie la synthèse des contributions

La première étape de la refonte des référentiels « santé » adoptés par la CNIL touche à sa fin avec la présentation des résultats de la consultation publique à tous les acteurs impliqués. Celle-ci a permis d’établir un bilan de ces référentiels et de recueillir les besoins d’évolution des organismes qui mettent en œuvre des traitements dans le domaine de la santé. Des éléments plus détaillés, sur chaque thématique couverte par le questionnaire ayant servi de support à la consultation, seront présentés dans le cadre du webinaire organisé par la CNIL le 10 décembre prochain. Il permettra à toutes les personnes intéressées de poser des questions avant la constitution de groupes de travail.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 5 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 5 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen de deux projets de délibération sur portant avis sur deux projets de décrets relatifs aux systèmes d’information France Travail et I-MILO et portant diverses dispositions relatives aux traitements de données à caractère personnel dans le champ de l’emploi, de l’insertion et de la formation professionnelle ;
* Examen de deux projets de délibération portant avis sur :
– un projet de décret autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « traitement de sécurité de la direction générale de la sécurité extérieure (SECU) » ;
– un projet de décret autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « traitement de gestion et de recrutement du personnel de la direction générale de la sécurité extérieure » (PERS-CM).

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur le projet de décret relatif à la remise en bon état d’usage de certains dispositifs médicaux

Disponible sur: CNIL.fr

CNIL

Utilisation de BriefCam et d’autres logiciels d’analyse vidéo par l’État et des communes : la CNIL prononce plusieurs mises en demeure

Dans son plan stratégique 2022-2024, la CNIL a consacré une de ses thématiques prioritaires de contrôle à certains usages des logiciels d’analyse automatique d’images. En novembre 2023, le journal Disclose avait publié une enquête indiquant que les services du ministère de l’Intérieur et des communes utilisaient un logiciel d’analyse vidéo de la société BriefCam, avec reconnaissance faciale. En conséquence, dès décembre 2023, la CNIL a décidé de contrôler quatre services du ministère de l’Intérieur. L’inspection générale de l’administration avait également été missionnée par le ministère de l’Intérieur et a rendu public son rapport le 28 octobre 2024.

En plus des contrôles menés auprès du ministère, la CNIL a engagé une série de contrôles auprès de huit communes ayant recours à ce type de technologies, afin de vérifier les cas d’usage mis en œuvre et le respect du cadre légal en vigueur. La CNIL a notamment constaté les éléments suivants:
– La CNIL considère que ces logiciels d’analyse vidéo sont des traitements de données personnelles dont l’utilisation peut relever de la législation des logiciels de rapprochement judiciaire (LRJ). Leur usage est légal et strictement encadré par les dispositions du code de procédure pénale. Les engagements de conformité au « référentiel LRJ » n’ont été transmis que tardivement à la CNIL, parfois plusieurs années après le début de leur mise en œuvre, ou ne l’ont pas encore été.
– Lors d’une mise à jour du logiciel BriefCam, l’éditeur a par ailleurs intégré une fonctionnalité « reconnaissance faciale » qui a donc, dans les faits, été mise à disposition de certains des services du ministère de l’Intérieur. Bien que des instructions ou des positions du ministre aient pu rappeler que leur usage est illégal, la CNIL a été informée d’un cas ponctuel d’utilisation de cette fonctionnalité, pour une enquête judiciaire.
– Un usage permettant la détection automatisée de situations laissant présumer une infraction sur le domaine public (stationnement interdit, circulation en contre-sens, etc.) ou d’évènements considérés comme « anormaux » ou potentiellement dangereux (attroupements d’individus, etc.).

Au regard de ces éléments, la CNIL a adressé des mises en demeure au Ministère de l’Intérieur ainsi qu’à six communes afin qu’ils mettent fin aux manquements constatés.

Disponible sur: CNIL.fr

L’Usine digitale

Norauto victime d’une cyberattaque, les pièces d’identité de ses clients exposés

La société française d’entretien et de réparation automobile a prévenu ses clients que certaines données personnelles gérées par son service location avaient été visées. Des informations sensibles en font partie, comme les numéros de pièce d’identité. La semaine dernière, un cybercriminel revendiquait l’exfiltration de 78 000 lignes de données appartenant à Norauto. Dans le détail, les noms, prénoms, adresses postales et e-mail ainsi que les numéros de téléphone des clients ont été exfiltrés. Mais aussi, plus grave, les numéros d’identification des pièces d’identité partagées par les clients lors de la location. “Le mot de passe de votre compte client et vos données bancaires ne sont, quant à eux, pas compromis”, assure Norauto.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : La Banque de France reconnaît une intrusion mais dément une fuite de données

Un groupe de pirates informatiques a revendiqué ce week-end le vol de nombreuses données sensibles appartenant à la Banque de France. Dans un message publié sur le forum de piratage BreachForums, les cybercriminels de Near2tlg assurent détenir les dossiers des employés, contenant à la fois leur identité, le montant de leurs revenus et l’intitulé de leurs fonctions. Mais aussi des “informations sensibles sur les clients”, telles que des données sur les comptes bancaires ainsi que l’historique des transactions. Le fichier comprendrait également des “documents internes confidentiels”, tels que des rapports financiers et échanges sensibles.

Disponible sur: usine-digitale.fr

CNIL

IA : votre assistant vocal connaît-il votre vie privée ?

Informations sur notre santé, sur nos préférences alimentaires, sur nos amis et notre famille : sans nous en rendre compte, nous pouvons confier de nombreuses données personnelles aux assistants vocaux. La CNIL a mené une expérience avec trois étudiants.

Accompagnée de la Fédération des centres sociaux de Vendée et de leur café mobile, la CNIL s’est rendue sur une place publique à La Roche-sur-Yon pour proposer à plusieurs passants d’échanger avec Germain, « un nouvel assistant vocal utilisant de l’intelligence artificielle ». Intrigués par le dispositif, les habitants ont interrogé l’assistant sur leurs besoins quotidiens : rechercher le numéro de téléphone d’une agence de voyages, savoir comment arrêter de fumer, identifier des circuits de vélo autour de son domicile ou encore savoir s’ils allaient réussir leurs examens, etc. À l’issue des échanges, les participants ont pu découvrir qu’ils avaient en réalité parlé avec un agent de la CNIL, caché dans un lieu à proximité, et qu’ils avaient confié de nombreuses données personnelles au fil de la discussion, parfois sans s’en rendre compte.

Disponible sur: CNIL.fr

Retour en haut