Dernières actualités : données personnelles

CNIL

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie.

Ce fichier est notamment utilisé dans le cadre d’enquêtes judiciaires pour la recherche des auteurs d’infractions, mais également dans le cadre d’enquêtes administratives, en vue de l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles, ou encore pour l’examen de demandes d’obtention de la nationalité française. À l’issue d’une procédure de contrôle auprès des représentants des deux ministères et de plusieurs parquets de tribunaux judiciaires et de cours d’appel, la CNIL a relevé l’existence de plusieurs manquements en lien avec les conditions dans lesquelles sont traitées les données personnelles figurant dans le TAJ (données inexactes, absence d’information des personnes et refus d’exercice des droits, …).

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice. En complément de ces sanctions qu’elle a souhaité rendre publiques, la formation restreinte a également enjoint aux ministères de se mettre en conformité avec la loi Informatique et Libertés.

Disponible sur: CNIL.fr

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL (via legifrance)

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

CNIL

Législatives anticipées : la CNIL poursuit ses actions pour protéger les données des électeurs

La communication et la prospection politiques reposent sur une utilisation croissante de données personnelles et n’échappent pas à la numérisation accélérée de notre société. De nouveaux usages en ligne se développent depuis plusieurs années, notamment au travers des réseaux sociaux. Le respect des règles en matière de protection des données est devenu une question centrale dans le processus électoral et, plus généralement, dans la vie démocratique. De plus en plus de personnes sollicitent la CNIL sur les mauvaises pratiques qu’elles observent et n’hésitent pas à les dénoncer publiquement.

Afin de faire face à ces différents enjeux et de s’assurer que les partis politiques et les candidats prennent en compte la législation sur la protection des données dans leurs pratiques, la CNIL a mis en place un observatoire des élections depuis 2012. Il permet notamment d’assurer le suivi des sollicitations adressées à la CNIL dans le cadre des campagnes électorales telles que les demandes de conseil des candidats ou les signalements des mauvaises pratiques.

Alors qu’elle a enregistré 167 signalements à l’issue du scrutin européen, la CNIL rappelle aux partis les règles à respecter et informe qu’elle procédera à des contrôles en fonction du nombre et de la nature des signalements qui seront reçus dans le cadre des élections législatives anticipées.

Disponible sur: CNIL.fr

CNIL

Modifications des traitements de données soumis à formalités : quelles démarches ?

Certains traitements de données de santé, soumis à des formalités préalables auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Tel est également le cas des arrêtés relatifs à des traitements ayant un objet pénal, ou encore de tout texte de niveau décret ou supérieur prévoyant les caractéristiques essentielles d’un traitement de données à caractère personnel. Si les modifications ont un impact substantiel sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL. Afin d’aider les responsables de traitement concernés (principalement des administrations centrales) à identifier et à accomplir ces démarches, la CNIL a publié ce jour une fiche pratique.

Disponible sur: CNIL.fr

CNIL

La CNIL et Départements de France renouvellent leur partenariat

La CNIL et Départements de France s’assurent, depuis 2018, de la bonne mise en œuvre du règlement général sur la protection des données (RGPD) par les départements et de la sécurisation de leurs fichiers et systèmes d’information, dans un contexte où la menace cyber est toujours élevée. Cette collaboration se traduit par une centralisation des problématiques, ainsi qu’une mutualisation des analyses et outils, au sein du groupe technique de Départements de France, avec un appui juridique et technique de la CNIL.

Les données personnelles étant un outil indispensable dans l’élaboration, l’application et l’évaluation des politiques publiques, la CNIL souhaite soutenir Départements de France dans ses efforts pour mettre en œuvre une gouvernance de la donnée personnelle respectueuse du RGPD. Les travaux communs initiés ces dernières années se poursuivront pour que le développement de l’intelligence artificielle (IA) permette l’amélioration de la qualité et de l’efficacité du service public, dans le respect des droits des personnes.

Disponible sur: CNIL.fr

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

CJUE – Arrêt C-470/21

Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE, réunie en assemblée plénière, a jugé que les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée. En effet, elle estime que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.

La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. Les États membres doivent néanmoins garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés.

Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave. Ce contrôle doit toutefois être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.. Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut