Dernières actualités : données personnelles

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

CNIL

Protection des consommateurs et des données personnelles : la CNIL et la DGCCRF renforcent leur coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent le plus souvent de l’exploitation commerciale de leurs données personnelles. La progression constante de cette dimension numérique dans les échanges économiques fait de la protection des consommateurs et de la protection des données des enjeux liés et complémentaires, nécessitant une coopération étroite entre les autorités concernées. C’est pourquoi la Commission nationale de l’informatique et libertés (CNIL), autorité chargée de veiller à la protection des données, et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), autorité chargée de la protection des consommateurs, ont signé un premier protocole de coopération en 2011, dans l’objectif d’une meilleure protection des consommateurs dans l’espace numérique.

Pour promouvoir cette coopération et l’adapter aux évolutions du cadre légal et de l’économie numérique, le protocole a été revu une première fois en 2019. Depuis, les deux autorités ont échangé plusieurs dizaines de signalements, luttant ainsi contre les pratiques commerciales abusives et non conformes à la protection des données, sur des sujets tels que la prospection liée à la rénovation ou la gestion des programmes de fidélité. Dans le but de renforcer davantage cette coopération entre les deux autorités, Marie-Laure Denis, présidente de la CNIL, et Sarah Lacoche, directrice générale de la DGCCRF, signent aujourd’hui un nouveau protocole, dont les objectifs sont détaillés ci-dessous.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 14 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 14 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret du 11 février 2021 relatif aux modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et des droits indirects de traitements informatisés et automatisés permettant la collecte et l’exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
* Présentation d’une synthèse des conclusions des États généraux de l’information ;
* Présentation d’un observatoire des parcours d’exercice des droits RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant agrément d’APAVE CERTIFICATION pour la certification des compétences du délégué à la protection des données ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État relatif au recrutement des agents recenseurs mentionnés à l’article 156 de la loi n°2002-276 du 27 février 2002 relative à la démocratie de proximité;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe COFACE.

Disponible sur: CNIL.fr

CNIL

Silver économie (économie des seniors) : le plan d’action de la CNIL

Le développement de la silver économie répond à la transition démographique vécue par de nombreux pays occidentaux. La nature des données traitées et le ciblage en fonction de l’âge soulève d’importants enjeux en matière de protection des données. La CNIL publie son plan d’action pour accompagner l’ensemble des acteurs de la filière.

La filière de la silver économie (économie des seniors) englobe l’ensemble des activités qui bénéficient aux seniors (60 ans et plus). Il s’agit d’une économie transversale présente dans une multitude de secteurs et qui, le plus souvent, consiste en des offres de services et de biens visant à améliorer la qualité de vie des seniors, à préserver leur autonomie, et à apporter des solutions aux personnes fragiles ou en dépendance.

Cette filière recouvre de nombreux champs d’actions, tels que :
* la santé et la nutrition ;
* la sécurité et l’autonomie ;
* l’habitat ;
* les services ;
* les loisirs et activités adaptées ;
* la communication ;
* les transports et la mobilité.

Les seniors représenteront environ 24 millions de personnes en France d’ici 2060. Le vieillissement de la population entraîne l’émergence de plus en plus de produits et de services à destination des personnes âgées. La filière de la silver économie soulevant des problématiques importantes tant d’ordre juridique qu’éthique, la CNIL a décidé d’engager des travaux destinés à ces acteurs.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 7 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 7 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Présentation de la revue de la littérature scientifique concernant les enjeux de prise de décision automatisée ;
* Point sur le statut des modèles d’IA.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif au système d’information du compte personnel de formation, au traitement de données à caractère personnel dénommé « Mon Activité de Formation » et à l’accès de la Caisse des dépôts et consignations à diverses données ;
* Examen de quatre projets de délibérations portant sur les traitements NAVPRO, OEDIPP, PUMA et SIMBA :
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant modification de l’arrêté du 26 novembre 2015 portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires professionnels dénommé « NAVPRO » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté portant création d’un traitement de données à caractère personnel relatif à l’organisation des épreuves et la délivrance informatisée des permis de conduire les bateaux de plaisance à moteur dénommé « OEDIPP » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires de plaisance dénommé « PUMA » et au traitement automatisé permettant la gestion du droit annuel de francisation et de navigation ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 novembre 2011 portant création d’un traitement automatisé d’informations relatif à l’enregistrement des bateaux de plaisance naviguant ou stationnant dans les eaux intérieures nationales dénommé « SIMBA ».

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

La Quadrature du Net part à l’ « assaut contre la vidéosurveillance algorithmique dans nos villes »

La question de pérenniser ou non l’expérimentation de la vidéosurveillance algorithmique (VSA) fait actuellement beaucoup de bruit dans le débat public. Si l’on entend principalement les ministres et préfets au niveau national, c’est aussi – et surtout – à l’échelle locale que ces enjeux se cristallisent. Profitant de l’engouement des Jeux Olympiques et du cadre législatif créé à l’occasion de cet évènement, de nombreuses communes tentent de légitimer et normaliser leurs usages de cette technologie, qui restent pourtant totalement illégaux. Ces manœuvres, qui doivent être révélées et dénoncées, constituent aussi pour les habitant⋅es un levier d’action majeur pour faire entendre leurs voix et exiger l’interdiction de la VSA dans nos villes.

Lorsque nous avons lancé notre campagne contre la VSA au printemps dernier, nous l’affirmions haut et fort : ce qui se joue avec la loi sur les Jeux Olympiques est une grande hypocrisie. La vidéosurveillance algorithmique s’est déployée depuis quasiment une dizaine d’années en toute illégalité dans les villes et les collectivités locales, qui ont acheté des logiciels de VSA à des entreprises de surveillance en quête de profit. Marseille, Reims, Vannes ou encore Moirans… nous avons documenté au fil des mois comment les villes se dotaient de ces outils de surveillance en toute illégalité. La loi JO vient donc légitimer une pratique existante en masquant l’étendue de cette réalité. En effet, le périmètre prévu par la loi ne prévoit la détection que de huit types d’analyses d’images. Or, les entreprises de VSA n’ont jamais caché qu’elles savaient déjà faire bien plus : reconnaissance d’émotions, reconnaissance faciale ou encore suivi et identification des personnes au travers d’attributs physiques… Le rôle de la loi JO apparaît alors comme évident : il s’agissait surtout de créer une première étape pour sortir cette technologie de l’illégalité et amorcer un projet plus large de surveillance de l’espace public.

Disponible sur: laquadrature.net

CNIL

Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF

Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD.  Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Il s’agit du troisième code européen, et le deuxième approuvé par la CNIL, après le code CISPE (dans le domaine de l’informatique en nuage) adopté en 2021. Ce nouveau code a été porté par la fédération EUCROF (European Clinical Research Organisations Federation), qui a pris l’initiative de l’élaborer pour répondre aux enjeux identifiés par le secteur en matière de protection des données.

Il a pour objectif de décrire de manière opérationnelle les engagements pris par les sociétés privées qui fournissent, sur une base contractuelle, des services dans le domaine de la recherche en santé, notamment pour l’industrie pharmaceutique, en tant que sous-traitants (au sens de l’article 28 du RGPD) dans le cadre de l’exécution du contrat qui les lie au promoteur (personne physique ou morale qui est responsable d’une recherche clinique, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci). Parmi les services proposés par les CRO (prestataires de services en recherche clinique) qui peuvent être couverts par le code, figurent notamment la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 24 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 24 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Communication relative à l’état d’avancement de la mise en œuvre rénovée des dépistages organisés des cancers :
– Audition de la Caisse nationale de l’Assurance Maladie.
– Examen d’un projet de délibération autorisant l’Institut national du cancer à mettre en œuvre un traitement de données ayant pour finalité un dispositif informatique national permettant de collecter les données relatives au dépistage du cancer du col de l’utérus et de permettre le suivi des personnes dépistées pour un cancer du col de l’utérus par les centres régionaux de coordination des dépistages des cancers, dénommé « collecteur DOCCU ».

* Présentation d’une analyse des archives des bandeaux cookies de 2018 à 2024.

Partie II (sans débats):
* Examen d’un projet de délibération portant décision unique et autorisant le Réseau Sécurité Naissance – Naître Ensemble à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI).

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 17 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 17 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Audition de l’OCDE sur leurs travaux en matière d’intelligence artificielle et de gouvernance des données ;
* Présentation d’un projet de recommandation « dossier patient informatisé » (DPI).

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux.

Disponible sur: CNIL.fr

Retour en haut