Dernières actualités : données personnelles

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

ANSSI

L’ANSSI publie ses recommandations pour l’hébergement des systèmes d’information sensibles dans le cloud

Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé des recommandations pour l’hébergement dans le cloud qui précise, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. Cette série de recommandations constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).

Il est à noter qu’elle ne s’applique pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elle s’inscrit, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.

Disponible sur: cyber.gouv.fr

CNIL

Mesure de la diversité au travail : la CNIL lance une consultation publique sur un projet de recommandation

Dans un contexte de sensibilisation accrue à la lutte contre les discriminations, de nombreuses entreprises et institutions souhaitent mesurer la diversité au sein de leurs effectifs au travers de dispositifs qui impliquent la collecte de nombreuses données personnelles, dont des données sensibles. Cette mesure de la diversité est un exercice délicat car il suppose des questions intrusives sur la vie privée des salariés/agents. Dans ce contexte, les employeurs doivent particulièrement veiller à respecter la décision du Conseil constitutionnel du 15 novembre 2007, qui encadre très strictement les statistiques liées aux origines.

Douze ans après la publication du guide méthodologique corédigé avec le Défenseur des droits « Mesurer pour progresser vers l’égalité des chances », la CNIL publie un projet de recommandation spécifique afin de guider les organismes souhaitant mettre en œuvre des enquêtes de mesure de la diversité, en conformité avec la règlementation européenne en vigueur depuis 2018.

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

Les autorités nordiques publient un guide commun sur la protection des enfants jouant à des jeux sur internet

Les 13 et 14 octobre 2022, une « réunion nordique sur la protection des données » s’est tenue à Helsinki pour discuter des questions d’actualité dans le domaine de la protection des données et pour partager des expériences. Les autorités nordiques de protection des données (DPA) ont adopté la « Déclaration d’Helsinki », dans laquelle il a été convenu que la protection des données des enfants était une priorité pour les autorités nordiques.

L’autorité danoise de protection des données a attiré l’attention sur les conclusions d’un rapport de groupe de réflexion rédigé par la Danish Society Engineers et DataEthics.eu sur les technologies du jeu, les données et les enfants, qui met en lumière la nécessité de mieux protéger les droits des enfants jouant à des jeux numériques. Compte tenu de l’essor de l’industrie des jeux numériques, y compris dans les pays nordiques, les autorités de protection des données des pays nordiques ont décidé de créer un groupe de travail informel sur les enfants et les jeux en ligne. Ce groupe devait tout d’abord envisager des activités communes de sensibilisation et d’orientation afin de promouvoir les droits des enfants en matière de protection des données.

Le groupe de travail s’est particulièrement concentré sur la nécessité de fournir des orientations de base aux responsables du traitement des données qui doivent veiller à ce que les enfants bénéficient de la protection à laquelle ils ont droit lorsqu’ils conçoivent et développent des jeux numériques. Ce document, qui est le résultat de la coopération nordique telle qu’elle a été décidée à Helsinki en octobre 2022, fournit des conseils de base pour le traitement conforme au RGPD dans le contexte des jeux en ligne utilisés par les enfants. Il explore quatre des principes de traitement des données énoncés dans le règlement – équité, transparence, minimisation des données et responsabilité – et présente un certain nombre de questions et de considérations importantes pour les responsables du traitement. Les autorités annonce que ce guide n’a pas l’intention d’être exhaustif ; non seulement il existe d’autres principes de traitement des données, mais les principes sont tous délibérément de nature générale et nécessiteront des mises en œuvre différentes dans des circonstances différentes. De même, si les quatre principes examinés ici sont importants, ils complètent, plutôt qu’ils ne remplacent, les autres dispositions du RGPD. Il appartient donc aux responsables du traitement d’examiner minutieusement leurs activités de traitement et de déterminer ce qu’ils doivent faire pour se conformer à la loi et aux droits de leurs joueurs.

Disponible (en anglais) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Cybermalveillance : la CNIL et l’Unaf publient deux guides sur les cybermenaces pour les familles et les seniors

Pour accompagner les familles et les seniors, Cybermalveillance, la CNIL et l’Unaf publient aujourd’hui deux nouveaux guides intitulés « Cybersécurité : ayez les bons réflexes ».
Selon le communiqué, ces guides ont pour objectif de sensibiliser les utilisateurs de tous âges aux dangers d’Internet et de proposer des conseils pratiques pour s’en protéger. Clairs et accessibles, ils permettent à chacun, quel que soit son niveau de compétence technique, de comprendre les enjeux de sécurité et d’appliquer des mesures de prévention efficaces.

Les points clés du guide :
* Identifier les menaces : apprendre à reconnaître les différents types de menaces en ligne.
* Conseils pratiques : découvrir des astuces simples et pratiques pour sécuriser ses appareils et ses informations personnelles.
* Ressources complémentaires : accéder à des outils et des ressources en ligne pour approfondir ses connaissances et rester informé sur les menaces.

Ces guides peuvent être téléchargés gratuitement ci-dessous et des exemplaires imprimés peuvent être obtenus sur demande à l’Unaf.

Disponible sur: CNIL.fr

CNIL

Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit.

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées. Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Ces recommandations sont notamment composées des fiches pratiques suivantes:
* Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?
* Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?

Disponible sur: CNIL.fr

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, le scraping est presque toujours illégal

Le scraping est la collecte et le stockage automatiques d’informations sur l’internet. Le scraping par des parties privées et des individus n’est presque jamais autorisé : c’est en tout cas ce qu’affirme l’Autorité des données personnelles (AP) dans un nouveau guide. Celui-ci précise notamment un certain nombre de cas dans lequel le scraping est en toute hypothèse illégal. Par exemple :
* la recherche sur internet pour créer des profils de personnes en vue de les revendre ;
* la récupération d’informations à partir de comptes de médias sociaux protégés ou de forums fermés ;
* la récupération de données à partir de profils de médias sociaux publics, dans le but de déterminer si les personnes concernées bénéficient ou non de l’assurance demandée.

« Un malentendu très répandu veut que le scraping soit autorisé parce que tout ce qui se trouve sur l’internet est de toute façon accessible à tout le monde », a déclaré le président de l’AP, Aleid Wolfsen. « Mais le fait que des informations vous concernant soient publiques ne signifie pas automatiquement que vous autorisez le scraping. Même si vous indiquez sur votre compte de médias sociaux que vous avez récemment gagné à la loterie ou que vous avez subi une opération, vous ne donnez pas l’autorisation de récupérer ces données. L’autorisation de collecter des données à caractère personnel n’est donnée que si elle a été dûment demandée au préalable. Il est généralement impossible de le faire avec le scraping »,

Les conseils se trouvant dans l’article ci-dessous de l’AP ne s’adressent pas au gouvernement, mais l’AP précise que le scraping gouvernemental présente également des risques importants pour la vie privée et est soumis à des règles strictes. L’AP travaille également à l’élaboration d’une note d’orientation sur le scraping gouvernemental. En tout état de cause, les exceptions à cette règle sont très peu nombreuses : l’AP évoque le cas de l’intérêt légitime qui est fondé sur une norme juridique et qui ne doit pas être uniquement le profit (à condition que celui-ci soit réalisé de manière très ciblé), ou encore le cas del’usage domestique.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. Cette recommandation rappelle notamment que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles.

Disponible sur: CNIL.fr

CNIL

Prenez date – mise à jour des référentiels « santé » : la CNIL vous consultera à partir du 16 mai afin d’identifier vos priorités !

La CNIL souhaite faire évoluer ses référentiels santé en concertation avec les acteurs impliqués dans la recherche et les traitements de données de santé. Elle publiera ainsi un questionnaire le 16 mai et organisera un webinaire le 21 mai 2024.

Disponible sur: CNIL.fr

Retour en haut