Dernières actualités : données personnelles

CNIL

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie.

Ce fichier est notamment utilisé dans le cadre d’enquêtes judiciaires pour la recherche des auteurs d’infractions, mais également dans le cadre d’enquêtes administratives, en vue de l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles, ou encore pour l’examen de demandes d’obtention de la nationalité française. À l’issue d’une procédure de contrôle auprès des représentants des deux ministères et de plusieurs parquets de tribunaux judiciaires et de cours d’appel, la CNIL a relevé l’existence de plusieurs manquements en lien avec les conditions dans lesquelles sont traitées les données personnelles figurant dans le TAJ (données inexactes, absence d’information des personnes et refus d’exercice des droits, …).

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice. En complément de ces sanctions qu’elle a souhaité rendre publiques, la formation restreinte a également enjoint aux ministères de se mettre en conformité avec la loi Informatique et Libertés.

Disponible sur: CNIL.fr

CNIL (via legifrance)

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

CNIL (via Legifrance)

La CNIL sanctionne la société Foriou pour des faits de démarchage commercial en l’absence de base légale

Par une décision n°SAN-2024-003 du 31 janvier 2024, la formation restreinte de la CNIL a condamné la société de gestion de programmes et de cartes de fidélité Foriou à une amende de 310 000€ pour défaut de base légale concernant le traitement de données réalisés avec des données acquises auprès de tiers. Il y a toutefois plusieurs points intéressants :
* Ce défaut de base légale reproché à la société Foriou est en partie la conséquence de manquements de la société auprès de laquelle elle se fournissait en données : la collecte initiale ne permettait pas la réutilisation des données par la société Foriou à des fins de prospection commerciale, les fournisseurs n’ayant pas respecté leurs engagements contractuels. Ainsi, seul le consentement obtenu par la société Foriou était en capacité de « sauver » le traitement (et n’a pas été demandé en l’espèce).
* La société Foriou n’ayant « pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder [à des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données,] les deux bases légales susceptibles d’être applicables en l’espèce ont été examinées successivement par la Commission. » Il est ainsi notable que la CNIL n’a pas décidé de sanctionner l’incapacité de la société à justifier de la base légale fondant le traitement, mais la véritable absence de base légale pour le traitement de prospection commerciale. 

Dans cette affaire, les deux bases légales  examinées sont l’intérêt légitime ainsi que le consentement.

S’agissant de l’intérêt légitime : Pour déterminer si cette base légale est valablement utilisable par la société FORIOU, la Commission observe les pratiques réalisées par les fournisseurs des données. En l’espèce,  « la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société. » Aussi,  » s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU. » Enfin, « concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste. »
En conséquence, la formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.

S’agissant du consentement :  Une fois encore, la Commission observe les pratiques réalisées par les fournisseurs des données. Par exemple: « il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. « 

Le fait que le destinataire de données soit tenu responsable de manquements directement imputables au primo-collectant est, à notre connaissance, une première en France. C’est néanmoins une solution logique dès lors que les données sont collectées par un tiers qui est en charge de fonder légalement le traitement ultérieur de prospection commerciale. Lorsqu’une société de prospection compte s’appuyer sur la base légale de la collecte initiale, s’il est non seulement nécessaire qu’elle encadre contractuellement les relations avec son fournisseur de manière convenable, il est également important qu’elle contrôle le régulièrement pour vérifier ses pratiques.

Disponible sur: legifrance.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut