Cabinet STEFI vous accompagne dans la protection des Données personnelles
Veille juridique
Histoire et textes de la protection des Données
La CNIL a constaté plusieurs violations de données personnelles concernant des organismes connus du grand public ces dernières semaines, comme celle ayant touché l’entreprise FREE récemment. Usurpation d’identité, vol de l’IBAN … quels sont les risques ? Que pouvez-vous faire ?
Guide de la sécurité des données personnelles : nouvelle édition 2024
Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre. Cette nouvelle version restructure le guide et introduit de nouvelles fiches, notamment sur l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API).
Publication du Règlement sur l'IA
Le Règlement sur l'intelligence artificielle (RIA ou IA Act) a été officiellement publié au JO de l'EU le vendredi 12/07/2024.
Le« RÈGLEMENT (UE) 2024/1689 » comporte 180 considérants, 113 articles et 13 annexes.
Il est applicable à partir du 2 aout 2026, mais certaines parties sont applicables dès le 2 février 2025, le 2 aout 2025 ou le 2 aout 2027.
Employeur : égalité des chances et collecte de données sensibles, veiller à l'application des règles
L’état de santé, l’orientation sexuelle ou encore l’origine raciale ou ethnique perçue sont des données sensibles : leur collecte et leur utilisation sont interdites, par principe, par le règlement général sur la protection des données (RGPD).
Dans le cadre d’une enquête de mesure de la diversité, la CNIL estime que seul un consentement libre, explicite et éclairé des personnes pourrait lever cette interdiction.
Le guide du CEPD sur la protection des données pour les petites entreprises
Vous ne savez pas comment vous conformer au RGPD ?
Vous traitez des données personnelles concernant vos salariés, vos clients et vos partenaires commerciaux ?
Vous souhaitez comprendre les droits en matière de protection des données?
Données personnelles collectées : payer un abonnement ou consentir ? Valable ?
Le CEPD/EDPB, le Comité des « CNIL » européennes, a annoncé le 17 avril 2024 sur son site, qu’il vient d’adopter un avis relatif aux modèles « consentement ou paiement ».
Le consentement est-il valable pour le traitement des données personnelles à des fins de publicité comportementale dans le contexte des modèles « consentement ou paiement » déployés par la plupart des plateformes en ligne ? Selon l'EDPB, ces modèles ne devraient pas se contenter d’offrir le choix entre consentir à la collecte de données ou payer un tarif, car cela ne donne pas aux utilisateurs un réel choix.
La présidente du CEPD, Anu Talus, a déclaré : « Les plateformes en ligne devraient donner aux utilisateurs un véritable choix lorsqu’ils utilisent des modèles de consentement ou de paiement. Les modèles que nous avons aujourd’hui exigent généralement que les individus donnent toutes leurs données ou qu’ils paient. En conséquence, la plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix."
Outre cet avis au titre de l’article 64, paragraphe 2, le CEPD élaborera également des lignes directrices sur les modèles « consentement ou paiement » avec une portée plus large et collaborera avec les parties prenantes sur ces lignes directrices à venir.
Les thématiques de contrôle de la CNIL en 2024
Les données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés
08 février 2024
Collecte de données dans le cadre des Jeux Olympiques et Paralympiques
Dans le cadre de cette manifestation internationale de grande envergure, plusieurs millions de spectateurs et des milliers d’athlètes sont attendus en France.
Au regard de la volumétrie des personnes concernées et du nombre de partenaires de l’évènement qui pourraient se voir transmettre les données, il apparaît nécessaire de s’assurer des conditions dans lesquelles est opérée cette collecte en vérifiant les informations communiquées, les destinataires des données ou encore les mesures de sécurité déployées.
Droit d’accès des personnes concernées
Dans le cadre d'un programme européen, La CNIL et ses homologues vont procéder à des vérifications sur les conditions de mise en œuvre du droit d’accès, c'est à dire le droit pour toute personne physique concernée d'obtenir les informations sur ses Données que détient un organisme, ce qu'il en fait et en obtenir communication pour en vérifier le contenu.
La personne concernée doit aussi pouvoir exercer ses autres droits sur ses données et être informée.
Le responsable de traitement doit répondre dans le délai d'un mois à une demande de droit d'accès.
Données des mineurs collectées en ligne
Lors de ses investigations, la CNIL vérifiera notamment, sur les applications et sites les plus prisés des enfants et adolescents, si des mécanismes de contrôle de l’âge sont mis en œuvre, quelles mesures de sécurité sont prévues et si le principe de minimisation des données est respecté.
Programmes de fidélité et tickets de caisse dématérialisés
La majorité des enseignes de la grande distribution propose un programme de fidélité qui peut entraîner la collecte de nombreuses informations sur les consommateurs : habitudes alimentaires, composition du foyer, catégories d’âge des enfants, présence d’animaux domestiques, etc. qui sont utilisés à des fins de prospection commerciale.
Par ailleurs, la récente dématérialisation des tickets de caisse peut également conduire à des traitements additionnels de données personnelles pour permettre, par exemple, l’envoi du ticket par SMS ou courriel.
La prospection doit intégrer les règles de protection des données personnelles !
En 2023, l’activité répressive de la CNIL se caractérise par un accroissement du nombre de mesures adoptées, 42 sanctions ont été prononcées par la CNIL, pour un montant de 89 179 500 euros.
La CNIL a poursuivi une activité répressive soutenue : elle a mené 340 contrôles, majoritairement sur place et en ligne, que ce soit sur la base de plaintes, ou de sa propre initiative (thématiques prioritaires, informations parues dans la presse…).
Bilan 2023 :18 sanctions ont été adoptées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 24 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022.
Publicité et commerce en ligne, sécurité, géolocalisation des véhicules, droits des salariés ou encore traitement des données de santé : les décisions de sanction ont porté sur des thématiques variées et ont concerné des acteurs de taille et de secteurs divers. En effet, les sanctions ont aussi bien été prononcées contre de petites entreprises qu’à l’encontre de multinationales et ont concerné tant le secteur privé que le secteur public.
S’agissant des thématiques principales des décisions, la CNIL a rappelé dans plusieurs sanctions d’ampleur le principe selon lequel le démarchage publicitaire, qu’il prenne la forme d’un message électronique ou bien celle d’une publicité ciblée sur un site web, ne peut se faire que lorsque la personne concernée a préalablement donné son consentement.
Durée de conservation et sécurité des données :
La CNIL sanctionne la société PAP d’une amende de 100 000 euros
Le 31 janvier 2024, la CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société PAP qui édite le site pap.fr (De Particulier à Particulier).
Manquements sanctionnée :
Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
Un manquement à l’obligation d’information des personnes (article 13 du RGPD)
Un manquement à l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)
Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
Actualité GAFAMY
Yahoo et la gestion du consentement dans ses Cookies :
10 000 000 d'euros d'amende.
Le 29 décembre 2023, la CNIL a sanctionné la société YAHOO EMEA LIMITED d’une amende de 10 millions d’euros pour ne pas avoir respecté le choix des internautes qui refusaient les cookies sur son site « Yahoo.com » et ne pas avoir permis aux utilisateurs de sa messagerie « Yahoo! Mail » de librement retirer leur consentement aux cookies.
Manquements sanctionnées :
Des cookies déposés sans accord de l’internaute
Une incitation à ne pas retirer son consentement
Surveillance des salariés : la CNIL sanctionne AMAZON FRANCE LOGISTIQUE d’une amende de 32 000 000 d’euros
Le 27 décembre 2023, la CNIL a sanctionné AMAZON FRANCE LOGISTIQUE d’une amende de 32 millions d’euros pour avoir mis en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif. La société est également sanctionnée pour de la vidéosurveillance sans information et insuffisamment sécurisée.
Manquements sanctionnées :
Manquements liés au suivi de l’activité des salariés à l’aide des scanners portés par chaque salarié des entrepôt
La société utilise des indicateurs sur l’activité et la performance des salariés, collectés à l’aide des scanners afin de gérer les stocks et les commandes dans ses entrepôts en temps réel.
Manquement au principe de minimisation des données (article 5.1.c du RGPD)
Manquement à la licéité du traitement (article 6 du RGPD)
Des manquements en lien avec la planification du travail et l’évaluation des salariés
La société utilise également les données et indicateurs d’activité et de performance des salariés collectées à l’aide des scanners pour planifier le travail dans ses entrepôts, évaluer les salariés chaque semaine et les former.
Manquements au principe de minimisation des données (article 5.1.c du RGPD)
Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
Manquements liés aux traitements de vidéosurveillance
Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
Un manquement à l’obligation de sécurité (article 32 du RGPD)
Un peu d'histoire !
1974 : En France, Le projet SAFARI est contesté par la population (Le Système Automatisé pour les Fichiers Administratifs et Répertoires des Individus.)
La naissance de l'informatique fait prendre conscience des enjeux de la protection des Données personnelles, de la vie privée et des libertés individuelles, la CNIL autorité administrative indépendante naîtra 4 ans plus tard.
Textes :
1978 : Loi informatique et Libertés : Naissance de la CNIL (cliquez sur le drapeau France pour lire le texte)
1995 : Directive 95/46/CE
2018 : RGPD
2022 : Loi informatique et Libertés modifiée : Création de la procédure simplifiée
Article 226-16 du code pénal
"Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.."
Contexte :
1974 : L'informatique se développe, avec elle la possibilité de croiser des Données sur les individus.
1990 : Internet se développe, développement du e-commerce et des géants du Web, les Données à caractère personnel sont désormais une marchandise à forte valeur pour les Entreprises privées.
11/09/2001 : Les attentats augmentent les exigences sécuritaires des Etats.
2013 : Les documents du lanceur d’alerte Edward Snowden dévoilent l’ampleur de la surveillance exercée par la NSA, l’agence de renseignement américaine, sur les internautes du monde entier, grâce aux Données personnelles collectées par les Géants du net.
2022 : La CNIL reçoit et traite + de 12 000 plaintes visant des Collectivités et des Entreprises de toute taille et de toute activité.
2023 : La CNIL reçoit et traite + de 16 000 plaintes.
Au 12/03/2024 : La CNIL a prononcé quinze nouvelles sanctions dans le cadre de la procédure simplifiée depuis janvier 2024
La protection des données c'est juridique mais aussi technique !
"Les données personnelles récupérées valent sur le Dark Web une centaine d'euros, jusqu'à des milliers d'euros, notamment les données médicales. On dit désormais que les Données à caractère personnel c'est devenu l'or numérique noir, beaucoup plus cher qu'un baril de pétrole". SaxX
Comment protéger ses Données ?Outil mot de passe solide CNIL
Le Règlement Général sur la Protection des Données, cliquez sur le drapeau UE pour lire le texte RGPD :
Un équilibre à trouver entre la protection des Données et le développement de l'IA 2024 :
Besoin d'aide pour votre mise en conformité avec le RGPD ?
N'hésitez pas à nous contacter !
Nous sommes là pour vous former, vous conseiller, vous accompagner dans la mise en conformité de vos activités de Traitement de Données avec le RGPD et la Loi Informatique et Libertés. N'hésitez pas à nous contacter pour bénéficier de notre expertise.
FOCUS DPO externe : LE PILOTAGE DE LA CONFORMITÉ PAR LE DPO Veiller à la conformité au RGPD est une démarche active qui consiste à anticiper et organiser les interventions du DPO au sein de l’organisme.
2024 - Cabinet STEFI ©Droits d'auteur. Tous droits réservés.
Nous avons besoin de votre consentement pour charger les traductions
Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.