Dernières actualités : données personnelles

CNIL

6 novembre 2024

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie.

Ce fichier est notamment utilisé dans le cadre d’enquêtes judiciaires pour la recherche des auteurs d’infractions, mais également dans le cadre d’enquêtes administratives, en vue de l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles, ou encore pour l’examen de demandes d’obtention de la nationalité française. À l’issue d’une procédure de contrôle auprès des représentants des deux ministères et de plusieurs parquets de tribunaux judiciaires et de cours d’appel, la CNIL a relevé l’existence de plusieurs manquements en lien avec les conditions dans lesquelles sont traitées les données personnelles figurant dans le TAJ (données inexactes, absence d’information des personnes et refus d’exercice des droits, …).

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice. En complément de ces sanctions qu’elle a souhaité rendre publiques, la formation restreinte a également enjoint aux ministères de se mettre en conformité avec la loi Informatique et Libertés.

Disponible sur: CNIL.fr

Le Monde

24 octobre 2024

Ledger, entreprise de cryptoactifs, sanctionnée par la CNIL pour insuffisance de protection des données

L’entreprise française de sécurisation de cryptoactifs Ledger a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données de ses clients, a annoncé, mercredi 23 octobre, le gendarme français de la protection des données personnelles à l’Agence France-Presse (AFP). D’après les médias The Big Whale et La Lettre, qui ont révélé l’information, le montant de l’amende infligée s’élève à 750 000 euros. La CNIL n’a pas confirmé ce montant, soulignant que cette sanction n’était « pas publique ».

Disponible (en anglais) sur: lemonde.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

24 octobre 2024

Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF

Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD. Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Il s’agit du troisième code européen, et le deuxième approuvé par la CNIL, après le code CISPE (dans le domaine de l’informatique en nuage) adopté en 2021. Ce nouveau code a été porté par la fédération EUCROF (European Clinical Research Organisations Federation), qui a pris l’initiative de l’élaborer pour répondre aux enjeux identifiés par le secteur en matière de protection des données.

Il a pour objectif de décrire de manière opérationnelle les engagements pris par les sociétés privées qui fournissent, sur une base contractuelle, des services dans le domaine de la recherche en santé, notamment pour l’industrie pharmaceutique, en tant que sous-traitants (au sens de l’article 28 du RGPD) dans le cadre de l’exécution du contrat qui les lie au promoteur (personne physique ou morale qui est responsable d’une recherche clinique, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci). Parmi les services proposés par les CRO (prestataires de services en recherche clinique) qui peuvent être couverts par le code, figurent notamment la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.

Disponible sur: CNIL.fr

CNIL

10 octobre 2024

« Ils ne l’ont pas vu venir ! » : sanctions de 250 000 et 150 000 euros à l’encontre des sociétés de voyance en ligne COSMOSPACE et TELEMAQUE

Le 26 septembre 2024, la CNIL a sanctionné les sociétés COSMOSPACE et TELEMAQUE (entreprises proposant des services de voyance à distance), notamment pour avoir conservé des données personnelles de manière excessive, collecté des données sensibles sans consentement valable, et pour avoir manqué aux règles encadrant les opérations de prospection commerciale.

Les contrôles réalisés par la CNIL en 2021 ont permis de révéler plusieurs manquements, concernant la collecte de données sensibles sans consentement préalable et explicite (données de santé et données relatives à l’orientation sexuelle notamment), la conservation des données pendant une durée excessive, l’envoi de messages de prospection à des personnes n’ayant pas manifesté leur consentement ainsi que, s’agissant de la société COSMOSPACE, l’enregistrement systématique des appels téléphoniques.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 250 000 euros à l’encontre de COSMOSPACE et de 150 000 euros à l’encontre de la société TELEMAQUE. Ces amendes ont été adoptées en coopération avec une quinzaine d’homologues européens de la CNIL dans les deux cas. Le montant de ces amendes a notamment été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées – la base de données commune aux deux sociétés contenant les données de plus d’1,5 million de personnes – ainsi que de la sensibilité des données traitées. La situation financière des sociétés, et leur structure, ont également été prises en compte, pour retenir des amendes dissuasives mais proportionnées.

Disponible sur: CNIL.fr

CNIL

24 septembre 2024

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

CNIL

12 septembre 2024

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ». Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée, celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

CNIL

26 août 2024

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

CNIL

26 juillet 2024

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

CNIL (via legifrance)

17 juillet 2024

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

9 juillet 2024

Mesure de la diversité au travail : la CNIL lance une consultation publique sur un projet de recommandation

Dans un contexte de sensibilisation accrue à la lutte contre les discriminations, de nombreuses entreprises et institutions souhaitent mesurer la diversité au sein de leurs effectifs au travers de dispositifs qui impliquent la collecte de nombreuses données personnelles, dont des données sensibles. Cette mesure de la diversité est un exercice délicat car il suppose des questions intrusives sur la vie privée des salariés/agents. Dans ce contexte, les employeurs doivent particulièrement veiller à respecter la décision du Conseil constitutionnel du 15 novembre 2007, qui encadre très strictement les statistiques liées aux origines.

Douze ans après la publication du guide méthodologique corédigé avec le Défenseur des droits « Mesurer pour progresser vers l’égalité des chances », la CNIL publie un projet de recommandation spécifique afin de guider les organismes souhaitant mettre en œuvre des enquêtes de mesure de la diversité, en conformité avec la règlementation européenne en vigueur depuis 2018.

Disponible sur: CNIL.fr