CNIL - ACTUALITE DE LA FORMATION RESTREINTE - SANCTIONS

CNIL    Ξ    ACTUALITE DES SANCTIONS DE LA FORMATION RESTREINTE   Ξ  

 

8 janvier 2024 - FAED 1 / CNIL O

Fichier Automatisé des Empreintes Digitales : Pas d'astreinte ! Pas de stress !

Plus de 2 ans après son prononcé, la CNIL clôture la procédure d'injonction qui imposait au Ministère de l'Intérieur de se mettre en conformité avant le 31 octobre 2021 ...

Peut-on se hasarder à considérer, sans crainte, que la CNIL aura fait une fleur au Ministère de l’Intérieur ? Doit-on y déceler une sorte de discrimination positive de la part d’une Autorité de Régulation pourtant très stricte quant au respect des injonctions faites aux Responsables de Traitements de se mettre en conformité dans le délai qu’elle aura décidé? L’exception, le privilège légal dont bénéficie l’Etat dans le fait de ne pouvoir être condamné au paiement d’une astreinte, pourrait vraisemblablement expliquer cela en ces termes… Pas d’astreinte ! Pas de stress !

Si l’on peut comprendre, en effet, que la mise en conformité des manquements concernant la sécurité des données nécessite temps et moyens, si l’on peut admettre que prendre des mesures organisationnelles pour vérifier l’exactitude des données et procéder, le cas échéant, aux effacements corrélatifs puisse être long et contraignant, il est difficilement admissible que le minimum minimorum d’un simple rappel des mentions d’information relatives aux droits d’accès, de rectification… reprises dans une affiche apposée dans les locaux de garde à vue ou ajoutées à la notification des droits du gardé à vue ne puisse être réalisé dans le temps de l’injonction et nécessite au Ministère un délai de plus de 18 mois pour se mettre en conformité – V. modèle d’affiche apposée sur un panneau d’informations générales de la salle d’attente d’un commissariat d’Ile-de-France, perdue au beau milieu d’une multitude d’autres affiches et flyers…

CNIL * SAN-2024-001 du 8 janvier 2024

 

EXTRAITS CHOISIS

 

 

CNIL    Ξ    ACTUALITE DES SANCTIONS DE LA FORMATION RESTREINTE   Ξ  

 

20 décembre 2022 - LUSHA 1 - CNIL O

Comment la société américaine LUSHA au travers de sociétés ecrans fictives, a-t-elle littéralement pu «aspirer» à leur insu  - aux fins de revente ultérieure à «1 dollar le ticket numéro de mobile/e-mail» -  l’intégralité des données et informations figurant aux fiches «contacts» des smartphones de millions d'utilisateurs français, durant plusieurs années,  sans se faire sanctionner par la CNIL et bien pire, obtenir de sa formation restreinte un «non-lieu public inédit» prononcé contre l’Avis motivé de son Rapporteur ?

Cette position inédite de la CNIL dans l’affaire LUSHA s’inscrit à contre-courant de son actualité du moment, à savoir, ses engagements pris dans le cadre de son plan d’action “Applications mobiles” présenté un mois avant la décision LUSHA et aux termes duquel le smartphone, terminal personnel par définition, relève de la sphère privée et intime. Il est essentiel pour chacun de pouvoir contrôler les données auxquelles les applications mobiles ont accès. Pour autant à l’heure actuelle, les traitements de données peuvent être opaques. En particulier, les informations sur l’existence de collectes de données et les raisons pour lesquelles celles-ci sont collectées sont souvent peu claires. De même, l’utilisateur peut avoir des difficultés à comprendre la nature des autorisations qui lui sont demandées, ce qui complique l’expression de ses choix(sic)   –  Plan d’Action CNIL “Applications mobiles – Pour protéger votre vie privée” présenté le 24 novembre 2022

L’extraterritorialité du RGPD est l’une des meilleures armes de l’Union contre le pillage de nos données personnelles par des acteurs hors UE tentant de se mettre – ou faisant plutôt mine de se mettre – hors de sa portée. Par sa décision zélée voulant s’afficher comme le reflet d’une analyse juridique rigoureuse et exemplaire de la lettre du RGPD, la CNIL semble avoir omis que «le juridique sans le politique» ou «la lettre sans l’esprit» n’est que bagatelle.

CNIL * SAN-2022-024 du 20 décembre 2022

 

ANALYSE CRITIQUE

 

 

LIL * Art. 4, 89, 97, 99 et 104


MINISTERE DE L’INTERIEUR – FAED FICHIER DES EMPREINTES DIGITALES

Communiqué CNIL 2024 


Extraits Choisis


Le 8 janvier 2024, la CNIL décidait de clôturer son injonction du 24 septembre 2021 à l’encontre du Ministère de l’Intérieur, considérant qu’il s’y était conformé malgré le retard de près de 2 ans pris après l’échéance du 31 octobre 2021 fixée par la CNIL.

Sur la licéité du traitement, la CNIL prenait acte de la réforme à venir du décret du 8 avril 1987 encadrant le FAED, réforme qui viendra élargir le champ d’informations que le Ministère de l’Intérieur pourra désormais inclure dans le traitement de données, à savoir, les nom et prénom de la victime, les immatriculation, marque et type du véhicule sur lequel l’empreinte digitale/palmaire ou sa trace aura pu être prélevée.

Par ailleurs, la CNIL prenait acte de l’effacement de l’ensemble des fiches de signalisation papier au 24 avril 2023, de même qu’elle s’en rapportait aux mesures et engagements de mise en conformité pris par le Ministère de l’Intérieur concernant:

– la durée de conservation, l’effacement et/ou la rectification des données inexactes inscrites au FAED

– la garantie d’un niveau de sécurité adapté au risque encouru dans les modalités d’accès au FAED (carte-agent + code PIN)

Enfin, pour ce qui concerne les mesures prises pour informer les personnes signalisées quant à leurs droits d’accès, de rectification, de limitation et d’effacement (sous condition d’autorisation du Procureur) des données inscrites au FAED, la CNIL prenait acte de la diffusion d’une instruction de la DGPN — en date du 30 mai 2023 — enjoignant l’ensemble de ses services à apposer une affiche dans tous les lieux accessibles au public — et particulièrement dans les lieux privatifs de liberté — reprenant l’essentiel de ces droits, et renvoyant pour le surplus et le détail, à la consultation de la rubrique “Protection des données” du site internet “www.interieur.gouv.fr“.

La CNIL relevait qu’il n’existait aucune rubrique “Protection des données” mais malgré tout, la CNIL considérait qu’il y avait bien conformité en décidant de s’en rapporter … à nouveau … aux engagements pris par le Ministère de l’Intérieur de mettre en adéquation les mentions de l’affiche d’information avec les mentions du site internet.

Fermez le ban!

CNIL * Délibération SAN-2021-016 du 8 janvier 2024

Add-on LUSHA pour LINKEDIN | Applications mobiles “aspirateurs de contacts” & Suivi du comportement


La CNIL décide que LUSHA SYSTEMS Inc. n’est pas soumise au RGPD … contre l’avis de son Rapporteur

Analyse critique


Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha [dans la mesure où] :

– la société ne dispos[ait] d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;

– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, [de sorte que] le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable;

– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique [de sorte que] le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.

CNIL * Délibération SAN-2022-024 du 20 décembre 2022

LIL * Art. 4, 89, 97, 99 et 104


MINISTERE DE L’INTERIEUR – FAED FICHIER DES EMPREINTES DIGITALES

Communiqué CNIL 2021


Extraits Choisis


La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED)aka le fichier de police judiciaire d’identification n’étant censé inclure que les empreintes digitales des personnes mises en cause dans le cadre de procédures pénales ou administratives (gardes à vue, rétention administrative d’un étranger en situation irrégulière…) et notamment, pour n’avoir fourni aux personnes concernées mis en cause aucune information quant à leurs droits – droits d’accès, de rectification, d’effacement, de limitation du traitement de données les concernant –  en conservant plusieurs années — au-delà même de 25 années pour certaines fichesaprès l’expiration du délai légal — qui peut n’être que de six mois par exemple dans le cas d’une vérification d’identité sans suites judiciaires — un volume important de donnéesplus de 2 millions de fiches FAED illicites — relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données supplémentaires de l’enquête pénale (nom de la victime,  le numéro d’immatriculation d’un véhicule…)
ne devant pas figurer au FAED, en conservant, pour finir, les données pendant une durée excédant largement la durée légale.  La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED, ce qui aggrave d’autant plus les risques de fuite d’informations et d’atteinte à la vie privée concernant des mis en cause précedemment placés en garde à vue et qui auraient obtenu notamment par la suite un avis de classement sans suite, une relaxe, ou un non-lieu à poursuites. Un rappel à l’ordre et une injonction de mettre en conformité avant le 31 octobre 2021 avec les obligations prévues par le RGPD les traitements de données concernés (FAED...) étaient prononcés par la CNIL à l’encontre du Ministère de l’Intérieur.

CNIL * Délibération SAN-2021-016 du 24 septembre 2021

RGPD * Articles 16, 17, 30 et 31


ANNUAIREFRANCAIS.FR – Communiqué CNIL


La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.

CNIL * Délibération SAN-2021-014 du 15 septembre 2021 * 3000 euros d’amende

LIL * Article 82


LE FIGARO.FR – Communiqué CNIL


La CNIL considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE DU FIGARO – de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté.

CNIL * Délibération SAN-2021-013 du 27 juillet 2021 * 50.000 euros d’amende

RGPD * Art. 4(7), 14(5)(b), 28, 55-1


MONSANTO – Communiqué CNIL


La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques. La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé pour son compte (art. 28), a sensiblement réduit la protection des données des personnes ciblées.

CNIL *Délibération SAN-2021-012 du 26 juillet 2021 * 400.000 euros d’amende