Dernières actualités : données personnelles

CNIL

11 février 2025

QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales

La société QWANT est une société française qui a lancé son moteur de recherche en 2013. En raison des fortes mesures de protection de la vie privée qu’elle mettait en œuvre, la société estimait que le moteur de recherche ne collectait aucune donnée personnelle lorsque les utilisateurs effectuaient une recherche, notamment dans le cadre de l’affichage de publicités en lien avec l’objet de la recherche. Les données utilisées dans le cadre de la vente des espaces publicitaires du moteur de recherche, opérée via MICROSOFT, étaient donc présentées comme anonymes. Le 15 mars 2019, la CNIL a été saisie d’une plainte à l’encontre de la société QWANT, au motif que les données personnelles collectées constitueraient des données à caractère personnel, et non des données anonymes, et que dès lors la réglementation sur les données à caractère personnel n’était pas respectée.

Sur la base de cette plainte, la CNIL a réalisé en 2019 deux contrôles auprès de la société et qui ont été suivis par de nombreux échanges avec la société. Ces investigations ont permis d’établir que les données personnelles que QWANT transmettait à la société MICROSOFT étaient essentiellement techniques (telles que l’adresse IP tronquée ou l’adresse IP hachée pour constitution d’un identifiant généré par QWANT), afin que MICROSOFT puisse :
* afficher des publicités contextuelles, en lien avec la recherche de l’utilisateur, ne nécessitant par conception pas de traçage dans le temps des activités de l’utilisateur, ni n’alimentant un profil ;
* comptabiliser le nombre d’affichage publicitaire ;
* proposer l’affichage de ses propres résultats de recherche dans le cas où QWANT ne serait pas en mesure de proposer des résultats suffisants, en nombre ou en qualité.

QWANT estimait que les données en question étaient anonymisées mais la CNIL a estimé que tel n’était pas le cas et a considéré qu’li s’agissait seulement de données pseudonymisées. La CNIL a en outre décelé des lacunes du côté de l’information proposée par la plateforme, qui différait d’une langue à une autre. L’autorité a ainsi décidé d’adresser un rappel à l’ordre à QWANT (en tant compte d’éléments de contextes exprimés ci-dessous !)

Disponible sur: CNIL.fr

CNIL

8 février 2025

IA et RGPD : la CNIL publie ses nouvelles recommandations pour accompagner une innovation responsable

Le Sommet pour l’action sur l’intelligence artificielle, organisé par la France du 6 au 11 février 2025, accueillera de nombreux évènements qui confirment que l’IA recèle un potentiel d’innovation et de compétitivité pour les prochaines années. Depuis 1978, la France s’est dotée de règles pour encadrer l’usage des données personnelles par les technologies numériques. En Europe, ces règles ont été harmonisées par le règlement général sur la protection des données personnelles (RGPD) dont les principes inspirent de nombreux pays à l’international.

Consciente des enjeux de clarification du cadre juridique, la CNIL s’emploie, à travers l’ensemble de ses actions, à sécuriser les acteurs afin de favoriser l’innovation en IA tout en assurant le respect des droits fondamentaux des Européens. Depuis le lancement de son plan d’action sur l’IA en mai 2023, la CNIL a notamment adopté une série de recommandations pour le développement de systèmes d’IA. Ainsi éclairé et clarifié, l’application du RGPD est un facteur de confiance pour les personnes, et de sécurité juridique pour les entreprises.

Dans cette même optique, la CNIL publie aujourd’hui deux nouvelles recommandations pour un usage de l’IA respectueux des données personnelles, qui confirment que les exigences du RGPD sont suffisamment équilibrées pour appréhender les spécificités de l’IA. Ces recommandations proposent des solutions concrètes et proportionnées pour informer et faciliter l’exercice des droits des personnes. Elles sont disponibles ci-dessous !

Disponible sur: CNIL.fr

CNIL

7 février 2025

Ordre du jour de la séance plénière du 6 février 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 6 février 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Adoption des fiches IA sur l’information et l’exercice des droits des personnes ;
* Présentation de l’avis 28/2024 du CEPD sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA.

Partie II (sans débats):
/

Disponible sur: CNIL.fr

CNIL

5 février 2025

Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL

L’année 2024 est marquée par une forte augmentation de l’ensemble des mesures correctrices prononcées par la CNIL : le nombre de sanctions a doublé et les mises en demeure et rappels aux obligations légales sont en constante hausse. Le nombre total de sanctions prononcées est passé de 21 en 2022 à 42 en 2023 puis 87 en 2024.

La CNIL a également prononcé 180 mises en demeure et 64 rappels aux obligations légales, ce qui est sans précédent pour ce type de mesures. 331 mesures correctrices ont également été prononcées.
Plus d’informations ci-dessous!

Disponible sur: CNIL.fr

CNIL

4 février 2025

Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier

La CNIL a aujourd’hui annoncé avoir sanctionné une société (non nommée) d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’écran régulières de leurs ordinateurs. En outre, les salariés étaient filmés en permanence.

Lors de ses investigations (déclenchées par des plaintes), la CNIL a constaté que l’entreprise intervenant dans le secteur immobilier avait installé sur les ordinateurs de certains de ses salariés un logiciel de suivi de leur activité dans le cadre du télétravail. Elle avait également recours à un système de vidéosurveillance dans ses locaux pour la prévention des atteintes aux biens (vols). Elle s’est avéré que la société filmait en permanence ses salariés, en captant l’image et le son, et qu’elle mesurait leur temps de travail et évaluait leur performance de manière très précise par le biais du logiciel installé sur leurs ordinateurs.

En conséquence, la formation restreinte a prononcé une amende de 40 000 euros à l’encontre de la société, en retenant les manquements suivants:
* Manquement à la minimisation des données lié à la surveillance excessive (article 5 du RGPD)
* Mesure du temps de travail et de la performance des salariés sans base légale (article 6 du RGPD)
* Absence d’information écrite et absence d’AIPD (articles 12, 13 et 35 du RGPD)
* Manquement à l’obligation de sécurité des données (article 32 du RGPD)

Disponible sur: cnil.fr

AEPD (autorité espagnole)

4 février 2025

L’AEPD sanctionne Línea Directa à 300 000 euros d’amende pour traitement illégal de données personnelles lors de la consultation de points de permis de conduire

L’autorité espagnole a annoncé avoir sanctionné LÍNEA DIRECTA ASEGURADORA, S.A. pour avoir traité des données sans base légale, en l’occurrence en consultant le nombre de points se trouvant sur un permis afin de proposer un tarif d’assurance personnalisé. Cette sanction fait suite à une plainte déposée par un client qui a constaté que ses données personnelles, notamment son numéro de permis et sa date d’expiration, avaient été utilisées pour consulter son solde de points de permis de conduire sur le site de la Direction Générale de la Circulation sans son consentement explicite.

L’enquête ouverte par l’autorité a révélé les faits et manquements suivants:
* Absence de base légale pour l’accès à des données (article 6 du RGPD) : LÍNEA DIRECTA, par l’intermédiaire de son sous-traitant MAJOREL, a accédé au solde de points du permis de conduire du réclamant sans son consentement explicite. Pour ce faire, LÍNEA DIRECTA a utilisé le numéro d’identification fiscale (NIF) et la date d’expiration du permis de conduire de la personne concernée, via un formulaire en ligne de la Direction Générale du Trafic (DGT), en indiquant une adresse électronique générée automatiquement. Cette pratique visait à offrir une réduction de prime d’assurance basée sur le nombre de points détenus. L’agence a rejeté l’argument de LÍNEA DIRECTA selon lequel le client avait donné un consentement implicite en acceptant de poursuivre la conversation téléphonique et a retenu l’absence de base légale.

* Contractualisation avec le sous-traitant insuffisante (article 28 du RGPD) : Le contrat entre LÍNEA DIRECTA et MAJOREL ne stipulait pas explicitement l’opération de traitement des données relative à la consultation des points de permis, ni ne contenait toutes les informations obligatoires. L’AEPD a rejeté l’argument de LÍNEA DIRECTA selon lequel MAJOREL était responsable du traitement, en raison du non-respect des exigences en matière de contenu du contrat, et a retenu un manquement à l’article 28.

En conséquence, l’AEPD a imposé à LÍNEA DIRECTA une amende totale de 300 000 euros. De plus, classiquement, l’agence a ordonné à LÍNEA DIRECTA de mettre en conformité ses contrats de traitement de données avec les exigences du RGPD dans un délai de trois mois.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

31 janvier 2025

Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

Les exportateurs s’appuyant sur les outils de transferts comme les clauses contractuelles types ou les règles d’entreprise contraignantes (article 46.2 et 46.3 du RGPD) ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentaires. Une telle évaluation est communément appelée analyse d’impact des transferts de données ou « AITD » en français (Transfer Impact Assessment ou « TIA » en anglais). Dans la continuité des recommandations du Comité européen de la protection des données (CEPD) sur les mesures supplémentaires complétant les instruments de transferts, la CNIL a élaboré un guide, afin d’aider les exportateurs des données à réaliser leurs AITD.

La CNIL a aujourd’hui publié la version finale de son guide sur les analyses d’impact des transferts des données. Cette publication fait suite à une consultation publique.

Disponible sur: CNIL.fr

CNIL

30 janvier 2025

Observatoire du droit d’accès sur les réseaux sociaux : le Laboratoire d’innovation numérique de la CNIL (LINC) publie son bilan

Le LINC a sélectionné 10 réseaux sociaux parmi les plus utilisés en Europe et en France : Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube. Les parcours d’accès aux copies des données personnelles de ces réseaux sociaux ont été examinés sur la base d’une grille d’analyse (30 questions) destinée à recenser les bonnes pratiques mises en place et, à la fin, d’afficher un score pour chaque réseau social.

Après une première analyse, le LINC a échangé avec ces réseaux sociaux à la fin de l’année 2024, ce qui a permis de réajuster quelques points de la méthodologie.L’objectif était de mettre en lumière les bonnes pratiques – issues du cadre légal, des recommandations de la CNIL et de l’EDPB, mais aussi d’autres sources comme des articles de la CNIL, de l’ICO ou des documents de la Commission Européenne – et d’encourager l’amélioration de l’expérience utilisateur, en partant des grands principes du RGPD.

En 2 chiffres:
– En moyenne, 4 clics sont nécessaires pour accéder au formulaire de demande
– En moyenne, les données sont reçues en 20h (environ)

Disponible sur: CNIL.fr

CNIL

30 janvier 2025

Ordre du jour de la séance plénière du 30 janvier 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 30 janvier 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de recommandation relative à l’utilisation des données de localisation des véhicules connectés ;
* Communication sur le statut des modèles d’IA ;
* Présentation relative à l’anonymisation et ses enjeux.

Partie II (sans débats):
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe COFACE ;
* Examen d’un projet de délibération portant approbation des critères de la certification nationale « Lexing certification RGPD » portée par la société Lexing.

Disponible sur: CNIL.fr

CNIL

28 janvier 2025

Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?

En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2024. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur. En plus des violations sans précédent qui ont concernées les opérateurs du tiers payant, France Travail ou encore la société Free, la CNIL constate que le nombre de violations touchant plus d’un million de personnes a doublé en un an.

En réaction, la CNIL a fait de la cybersécurité un des 4 axes de son plan stratégique 2025-2028. En pratique son action se traduit par :
* l’accompagnement des organismes, en produisant des recommandations permettant de protéger les données personnelles au regard de l’évolution de la menace et de l’état de l’art ;
* des contrôles sur la mise en œuvre des mesures de sécurité par les organismes ;
* l’information et la sensibilisation des particuliers à la cybersécurité pour les rendre acteurs de la protection de leurs données.

Parallèlement, la CNIL intensifie la coordination avec les acteurs de la cybersécurité, en particulier l’ANSSI et cybermalveillance.gouv.fr.

Disponible sur: CNIL.fr