Dernières actualités : données personnelles

Vérification de l’âge en ligne : la CNIL a rendu son avis sur le référentiel de l’Arcom concernant l’accès aux sites pornographiques

Certains sites ou services sur Internet sont réservés aux majeurs, en particulier lorsqu’ils donnent accès à des contenus à caractère pornographique. Pour vérifier l’âge des internautes, la loi visant à sécuriser et à réguler l’espace numérique (SREN) prévoit l’adoption par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) d’un référentiel. Celui-ci détermine les exigences techniques minimales applicables aux systèmes de vérification de l’âge auxquels doivent recourir les sites diffusant des contenus à caractère pornographique. Les sites internet visés par le référentiel doivent mettre en œuvre un système de contrôle de l’âge conforme aux caractéristiques techniques du référentiel dans un délai de trois mois après sa publication.

La CNIL s’est prononcée, le 26 septembre 2024, sur ce projet de référentiel dont les exigences portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée. Globalement, la CNIL accueille favorablement la publication par l’Arcom d’un référentiel encadrant les systèmes de vérification de l’âge reprenant une partie importante de ses préconisations relatives à la protection des données personnelles et de la vie privée.

Disponible sur: CNIL.fr

La CNIL a prononcé ces trois derniers mois onze nouvelles sanctions dans le cadre de la procédure simplifiée

Depuis juin 2024, la CNIL a rendu onze nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant cumulé d’amendes de 129 000 euros.

Les principaux manquements retenus concernent :
* le non-respect du principe de minimisation des données (vidéosurveillance des salariés et enregistrements de conversations téléphoniques de manière systématique et en intégralité) ;
* l’absence de registre de traitement ;
* l’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter ;
* le défaut de coopération avec la CNIL ;
* le non-respect des droits des personnes (absence de réponse dans les délais prévus) ;
* le manquement à l’information des personnes (clients et salariés).

Depuis janvier 2024, sur 9 mois, la CNIL a prononcé 28 sanctions simplifiées pour un montant total de 290 500 euros. En comparaison, sur la totalité de l’année 2023, 24 sanctions simplifiées ont été prises pour un montant total de 229 500 euros qui se sont ajoutées aux 18 sanctions ordinaires (88 950 000 euros). Au-delà des sanctions pécuniaires, les mises en demeure participent également au respect du RGPD : la CNIL a ainsi prononcé 168 mises en demeure contre des organismes publics et privés en 2023. Ce chiffre est en constante augmentation depuis plusieurs années (135 en 2021, 147 en 2022).

Disponible sur: CNIL.fr

Ordre du jour de la séance plénière du 3 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 3 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Présentation du bilan de l’observatoire des élections 2024 et impacts du nouveau règlement européen relatif au ciblage de la publicité à caractère politique ;
* Présentation d’un projet d’observatoire des parcours d’exercice d’un droit ;
* Restitution de l’évènement « Recherches sur les enjeux éthiques et la régulation de l’intelligence artificielle ».

Partie II (sans débats) :
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes sous-traitant du groupe TALAN.

Disponible sur: CNIL.fr

Ordre du jour de la séance plénière du 26 septembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 26 septembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Point d’information sur les conditions d’exercice des délégués à la protection des données (DPO) :
     – Présentation des résultats de l’enquête sur le métier du DPO par des représentants du ministère du Travail (DGEFP) et de l’AFPA ;
     – Bilan des contrôles réalisés dans le cadre du Coordinated Enforcement Framework (CEF) du CEPD portant sur les « moyens du DPO » ;
     – Présentation du plan d’actions du service des délégués et de l’accompagnement pour améliorer les conditions d’exercice des DPO.

* Examen d’un projet de délibération portant avis sur un projet de référentiel de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) relatif aux systèmes de vérification de l’âge mis en place pour l’accès à certains services permettant l’accès à des contenus pornographiques ;
* Communication relative à l’actualité du CEPD (juillet à septembre) et aux travaux en cours sur ses lignes directrices relatives à l’article 48 du RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation.

Disponible sur: CNIL.fr

Accompagnement renforcé : la CNIL guidera quatre entreprises pendant six mois

En mai dernier, la CNIL a lancé un nouvel appel à candidature pour permettre à des entreprises innovantes, engagées dans une évolution rapide de leurs activités et dont le modèle d’affaires repose sur le traitement de données, de bénéficier d’un appui des équipes de la CNIL. Cette année encore, la CNIL a reçu des dossiers couvrant des champs d’activités variés : identité numérique, vidéo augmentée, numérique en santé, sécurité numérique, legal tech, jeux d’argent… témoignant d’une forte demande d’accompagnement en matière de protection des données.

La CNIL a analysé les candidatures reçues sur la base de 5 critères :

• la mise en œuvre par l’entreprise de produits, services ou procédés innovants ;
• le fort développement économique de la société ;
• l’impact des traitements de données personnelles sur les personnes ;
• l’engagement dans la conformité au RGPD ;
• l’intérêt des questions juridiques, sociétales ou éthiques soulevées.

La CNIL a sélectionné les entreprises Docaposte, Doctrine, la Française des Jeux et ShareID pour bénéficier d’un accompagnement renforcé sur les six prochains mois. Elle leur apportera des réponses sur mesure afin de les guider vers une bonne prise en compte de la règlementation sur la protection des données.

Disponible sur: CNIL.fr

Télésurveillance des examens en ligne : quels sont vos droits en tant qu’étudiant ?

Un établissement doit mettre en place des outils de télésurveillance d’examen adaptés au contexte et à l’enjeu de l’épreuve. Il doit toujours vous en informer, vous permettre d’accéder aux informations collectées dans le cadre de cette télésurveillance d’examen en ligne et, en règle générale, de vous y opposer. En tant qu’étudiant, la surveillance des examens en ligne peut vous concerner et peut avoir des conséquences sur votre vie privée : comme pour toute collecte et utilisation de données personnelles, vous avez des droits. De manière générale, la CNIL recommande aux établissements de proposer systématiquement des alternatives moins intrusives, comme le passage de l’examen en présentiel.

Disponible sur: CNIL.fr

Règles d’entreprise contraignantes (BCR) : la CNIL publie un outil de suivi

Les règles d’entreprise contraignantes (binding corporate rules ou BCR en anglais) désignent une politique de protection des données intra-groupe. Elles permettent aux entités liées de transférer des données personnelles hors de l’Union européenne. Il s’agit de l’un des outils de conformité prévus par le règlement général sur la protection des données (RGPD). L’approbation des règles d’entreprise contraignantes s’inscrit dans le cadre d’une démarche d’accompagnement mise en œuvre par la CNIL. Les groupes détenteurs ont la charge de mettre en place de manière effective les obligations issues des BCR. Les entreprises concernées sont des entreprises privées multinationales, implantées dans plusieurs pays de l’Union européenne et en dehors de celle-ci (voir la liste des groupes détenteurs de BCR approuvées par la CNIL).

Afin d’accompagner les groupes détenteurs de BCR à vérifier leur mise en œuvre, la CNIL met à leur disposition un outil et décrit les étapes pour son déploiement.

Disponible sur: CNIL.fr

Ordre du jour de la séance plénière du 18 juillet 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 18 juillet 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État pris en application de l’article L. 2241-2-1 du code des transports ;
* Examen d’un projet de recommandation relative aux applications mobiles.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif au fichier national du permis de chasser ;
* Examen d’un projet de délibération portant avis sur un projet de convention de mise à disposition des données du système intégré de gestion et de contrôle de la politique agricole commune ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État relatif aux inspections des officiers publics et ministériels ;
* Examen d’un projet de délibération portant agrément d’AFNOR CERTIFICATION pour la certification des compétences du délégué à la protection des données ;
* Examen d’un projet de délibération habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l’article 22-1 de la loi n°78-17 du 6 janvier 1978 modifiée.

Disponible sur: CNIL.fr