FYTT #CNIL ACTUALITES SANCTIONS & MISES EN DEMEURE

FICHIER POLICE-JUSTICE * FAED

Le Ministère de l'Intérieur est enjoint de mettre en conformité le Fichier des Empreintes Digitales d'ici le 31 octobre 2021

La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED), notamment en conservant un volume important de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données non visées par le décret FAED, et en conservant, pour finir, des données pendant une durée excédant largement la durée légale.

La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED – alors que le fichier traite des données extrêmement sensibles, par nature – et déplore l’absence de toute information délivrée aux personnes dont les empreintes sont enregistrées dans le FAED.

CNIL * SAN-2021-016 du 24 septembre 2021

COOKIES

Le Figaro est tenu responsable par le fait des cookies déposés par ses partenaires commerciaux malgré la mise en place de son outil de gestion du consentement

La Société du Figaro est tenue responsable en tant qu’éditrice du site lefigaro.fr pour avoir manqué à son obligation de moyens en ne s’assurant pas, de manière effective et malgré ses outils de gestion du consentement pourtant mis en place , que ses partenaires commerciaux ne puissent pas déposer des cookies et autres traceurs sur le terminal du visiteur avant même qu’une possibilité d’accepter ou de refuser un tel dépôt ne soit offerte à celui-ci. La CNIL devait constatait d’autre part, que ces partenaires commerciaux continuaient la lecture de ces traceurs malgré le refus exprimé par l’internaute.
Quant au respect de la procédure, la CNIL rappelait qu’il n’est en aucun cas obligatoire qu’elle effectue des vérifications formelles avant de procéder à toute instruction de plainte, ajoutant par ailleurs que l’audition sollicitée par une société contrôlée n’est qu’une simple faculté et non une obligation, et que le fait de réaliser plusieurs contrôles sur son site web, en cours d’instruction, ne saurait constituer une atteinte aux droits de la défense.

CNIL * SAN-2021-013 du 27 juillet 2021

ANNUAIRE PROFESSIONNEL

Les données extraites de la base SIRENE peuvent être qualifiées de données à caractère personnel

La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.

La société était ainsi sanctionnée par la CNIL dans la mesure où elle ne faisait droit aux demandes de rectification des données que lorsqu’une différence était relevée entre la fiche présente sur le site annuairefrancais.fr et la base SIRENE. A défaut, elle se refusait à toute rectification des données.

CNIL * SAN-2021-014 du 15 septembre 2021

FICHIER DE LOBBYING

La CNIL prononce une amende de 400.000 euros contre MONSANTO, sanctionnée pour avoir manqué à son obligation d'informer les personnes cibles de son lobbying du traitement de leurs données personnelles quand bien même ces données seraient publiques

La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques.

La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé – pour son compte par son sous-traitant (art. 28) – a sensiblement réduit la protection des données des personnes ciblées.

CNIL * SAN-2021-012 du 26 juillet 2021

FICHIER POLICE-JUSTICE * FAED


MINISTERE DE L’INTERIEUR – EMPREINTES DIGITALES
Communiqué CNIL


La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED), notamment en conservant un volume important de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données non visées par le décret FAED, en conservant, pour finir, les données pendant une durée excédant largement la durée légale. 
La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED et déplore l’absence de toute information délivrée aux personnes dont les empreintes y sont conservées.

CNIL * Délibération SAN-2021-016 du 24 septembre 2021

RGPD  Articles 16, 17, 30, 31


ANNUAIREFRANCAIS.FR
Communiqué CNIL


La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.

CNIL * Délibération SAN-2021-014 du 15 septembre 2021 * 3000 euros d’amende

Informatique & Libertés * Art. 82


LE FIGARO.FR
Communiqué CNIL


La CNIL considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE DU FIGARO – de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté.

CNIL * Délibération SAN-2021-013 du 27 juillet 2021 * 50.000 euros d’amende

Terrorisme & Pédopornographie


RAPPORT ANNUEL (2020) DE LA PERSONNALITE QUALIFIEE
Alexandre LINDEN – Président de la formation restreinte de la CNIL


L’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) a été à l’initiative de 50448 demandes de retrait sous 24h auprès des éditeurs et hébergeurs  (+325%/2019) de contenu signalé touchant au terrorisme (7% des demandes) ou à la pédopornographie (93% des demandes), demandes se poursuivant  –  à défaut de retrait (13%) –  par la suppression du contenu illicite et les déréférencement (4138/ -30%) et blocages (519/ +24%) des sites internet concernés. L’intégralité des 7 Recommandations de la Personnalité Qualifiée ont considéré que si le texte/photographie comportait un caractère menaçant, cela ne constituait ni une apologie d’actes de terrorisme, ni une provocation à de tels actes.

RGPD  Art. 4(7), 14(5)(b), 28, 55-1


MONSANTO
Communiqué CNIL


La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques.
La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé pour son compte (art. 28), a sensiblement réduit la protection des données des personnes ciblées.

CNIL *Délibération SAN-2021-012 du 26 juillet 2021 * 400.000 euros d’amende