Vincent VILLETTE, maître des requêtes au Conseil d’État, est nommé secrétaire général de la CNIL
Vincent VILLETTE, maître des requêtes au Conseil d’État et actuel directeur financier et juridique du Centre national du cinéma et de l’image animée (CNC), est nommé secrétaire général de la CNIL à compter du 2 juin 2025. Il succède à ce poste à Louis DUTHEILLET DE LAMOTHE. Découvrez son portrait et son parcours dans un article dédié !
Disponible sur: CNIL.fr
Ordre du jour de la séance plénière du 15 mai 2025
La Commission nationale de l’informatique et des libertés s’est réunie le mercredi 15 mai 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Projet de décret relatif à la mise en œuvre d’un traitement de données biométriques (SPS) visant à garantir et contrôler la présence et le temps de présence sur site des contrôleurs aériens :
– audition des représentants de la direction générale de l’aviation civile (DGAC) ;
– examen du projet de délibération portant avis sur le projet de décret ;
* Examen d’un projet de délibération portant avis sur les conditions de mis en œuvre par la commune de Nice d’un traitement algorithmique de données à caractère personnel « franchissement de ligne » et « zone d’intrusion ».
Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’Etat relatif aux modalités d’ouverture, de gestion et de clôture d’un compte joueur ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’Etat relatif à la liste des données, au format et aux modalités de transmission à l’Autorité nationale des jeux ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’Etat relatif à la déclaration préalable des entreprises de jeu à objets numériques monétisables ;
* Examen d’un projet de délibération habilitant des agents de la CNIL à procéder à des missions de vérification.
Disponible sur: CNIL.fr
Éducation nationale : la CNIL publie deux guides pratiques sur les violations de données
Dans le secteur de l’éducation, les établissements scolaires du premier et second degrés traitent de nombreuses données personnelles : inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves, etc. Ces données peuvent faire l’objet de violations de données et l’actualité montre que les établissements scolaires ne sont pas épargnés par ces incidents.
Pourtant, ces cinq dernières années, la CNIL n’a été notifiée que d’une trentaine de violations de données par an dans le premier et le second degrés. Or, lors de ses interventions sur le terrain, la CNIL constate que ce chiffre ne reflète pas la réalité quotidienne des établissements.
La CNIL a identifié plusieurs raisons pouvant expliquer cette sous-déclaration :
* il n’est pas toujours évident d’identifier ce qui constitue une « violation de données » ;
*la démarche à suivre en cas de violation de données est parfois méconnue des personnes opérationnelles ;
*le schéma de responsabilité des traitements mis en œuvre dans le secteur de l’éducation nationale est complexe.
our accompagner les acteurs concernés, la CNIL met à disposition deux nouveaux guides pratiques :
* l’un destiné aux délégués à la protection des données (DPO) ;
* l’autre à l’attention des directeurs d’école du premier degré, des chefs d’établissement du second degré, ainsi que de leur personnel administratif.
Disponible sur: CNIL.fr
Travail et données personnelles : le MOOC de la CNIL s’enrichit d’un nouveau module
L’atelier RGPD, le MOOC de la CNIL, propose désormais un nouveau module dédié aux traitements des données RH. Avec près de vingt heures d’auto-formation, il est accessible à tous ceux qui souhaitent approfondir leurs connaissances sur la protection des données personnelles. Le module couvre toutes les étapes de la vie professionnelle : du recrutement à la gestion courante des données lorsque le salarié est présent dans l’organisation, puis une fois qu’il l’a quittée. Il est structuré en 5 thématiques, regroupant 14 unités :
* Le recrutement
* La gestion du personnel
* La gestion de l’activité et de l’équipement
* Le dialogue social
* L’exercice des droits des personnes au travail
Disponible sur: CNIL.fr
Exit les cloud américains, les ministres exhortés à utiliser des solutions SecNumCloud
La dépendance à la technologie américaine coûte cher à l’Europe : près de 264 milliards d’euros par an. Au-delà de son coût, des questions purement juridiques se posent également. Comme le montre la mise à jour de la doctrine gouvernementale « Cloud au centre », discrètement publiée le 22 avril dernier. Le document a été révélé pour la première fois par le média Politico. Le document – signé par Laurent Marcangeli (ministre de l’Action publique), Amélie de Montchalin (ministre chargée des Comptes publics) et Clara Chappaz (ministre du Numérique) – impose aux ministères « d’impérativement s’assurer » que « les hébergements » et que « les applications utilisées pour le traitement des données sensibles » sont conformes aux exigences de protection contre « tout accès non autorisé par des autorités publiques d’Etats tiers ».
Disponible sur: usine-digitale.fr
Ordre du jour de la séance plénière du 7 mai 2025
La Commission nationale de l’informatique et des libertés s’est réunie le mercredi 7 mai 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif à la transparence des activités d’influence réalisées pour le compte d’un mandant étranger ;
*Présentation du module 6 « Travail et données personnelles » du MOOC « Atelier RGPD ».
Partie II (sans débats):
/
Disponible sur: CNIL.fr
Caméras augmentées aux caisses automatiques : la CNIL publie deux fiches pratiques
Les caisses automatiques équipées de caméras augmentées utilisent un logiciel pour analyser les images en temps réel. Positionnées généralement en hauteur au-dessus de la caisse automatique, ces caméras filment exclusivement l’espace de la caisse, dont le client, son panier d’achat et les produits à scanner, la zone de scan et celle où sont placés les produits une fois scannés.
L’algorithme utilisé permet de détecter différents « événements » (par exemple, reconnaître ou suivre les produits, les mains des personnes, ou encore la position d’une personne par rapport à la caisse) afin de vérifier notamment que chaque produit est effectivement scanné (comme dans l’illustration ci-dessous). Certains dispositifs permettent de détecter d’autres anomalies ou tentatives de fraude, ce qui devra être pris en compte pour analyser la légalité du dispositif. En cas d’anomalie, une alerte peut s’afficher pour permettre au client de se corriger en autonomie ou déclencher l’intervention d’un employé.
Dans des articles publiés ce jour, la CNIL rappelle les règles à respecter pour protéger les droits des personnes, ainsi que les droits dont bénéficient les personnes.
Disponible sur: CNIL.fr : fiche « Comment se conformer au RGPD ? » ; fiche « Quels sont vos droits ? »
En quatre ans, les pirates russes de Fancy Bear ont visé une dizaine d’entités françaises sensibles
L’Anssi a publié un rapport sur l’activité du groupe de cyberespionnage lié au renseignement russe Fancy Bear, ou APT28. Ce dernier a ciblé ou compromis une dizaine d’entités françaises sensibles, dont des ministères, des organisations de défense et une entité liée à l’organisation des Jeux olympiques. Le ministère de l’Europe et des Affaires étrangères a ouvertement condamné “avec la plus grande fermeté” cette campagne de cyberattaques par le service du Kremlin. “ Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies, écrit le Quai d’Orsay dans un communiqué. Elles sont par ailleurs contraires aux normes des Nations unies en matière de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit.” À noter qu’il s’agit de la première fois où la France désigne publiquement le renseignement militaire russe comme responsable de cyberattaques.
Disponible sur: usine-digitale.fr
Ordre du jour de la séance plénière du 30 avril 2025
La Commission nationale de l’informatique et des libertés s’est réunie le mercredi 30 avril 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Examen d’un projet de référentiel concernant l’évaluation de la solvabilité et la lutte contre la fraude dans le cadre de l’octroi de crédits (en vue de sa soumission à consultation publique) ;
* Présentation du projet « FantomApp, une application de sensibilisation des collégiens ».
Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’Etat relatif aux dispositifs médicaux ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’Etat relatif aux dispositifs médicaux de diagnostic in vitro.
Disponible sur: CNIL.fr
La CNIL donne ses consignes pour renforcer la sécurité des grandes bases de données
L’année 2024 a été marquée par une recrudescence de fuites de données massives, concernant plusieurs millions de personnes. Leur fréquence croissante justifie de renforcer la sécurité des traitements concernant de grands volumes de données personnelles. La CNIL met en avant les mesures nécessaires à cette fin. Les informations fournies par les organismes dans les notifications ou obtenues à l’occasion des contrôles menés par la CNIL montrent que ces violations sont dues à des attaques opportunistes. Elles ont souvent des modes opératoires similaires rendus possible par des défauts récurrents de sécurité :
* les couples « identifiant + mot de passe » de connexion d’utilisateurs légitimes avaient été usurpés, et ont permis d’accéder aisément aux données ;
* les intrusions et les exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente ou l’exploitation des jeux de données ;
* une part significative des incidents impliquait un sous-traitant, au sens de l’article 4.8 du RGPD, dont les mesures de sécurité étaient insuffisantes.
La CNIL vous propose des solutions dans l’article ci-dessous !
Disponible sur: CNIL.fr
