Inapplicabilité du RGPD * Article 3 RGPD
AFFAIRE LUSHA – NON LIEU A SANCTION
Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha [dans la mesure où] :
– la société ne dispos[ait] d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;
– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, [de sorte que] le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable;
– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique [de sorte que] le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.
CNIL * Délibération SAN-2022-024 du 20 décembre 2022 Communiqué CNIL
LIL * Art. 4, 89, 97, 99 et 104
MINISTERE DE L’INTERIEUR – EMPREINTES DIGITALES
La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED), notamment en conservant un volume important de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données non visées par le décret FAED, en conservant, pour finir, les données pendant une durée excédant largement la durée légale. La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED et déplore l’absence de toute information délivrée aux personnes dont les empreintes y sont conservées.
RGPD * Articles 16, 17, 30 et 31
ANNUAIREFRANCAIS.FR – Communiqué CNIL
La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.
CNIL * Délibération SAN-2021-014 du 15 septembre 2021 * 3000 euros d’amende
LE FIGARO.FR – Communiqué CNIL
La CNIL considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE DU FIGARO – de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté.
CNIL * Délibération SAN-2021-013 du 27 juillet 2021 * 50.000 euros d’amende
MONSANTO – Communiqué CNIL
La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques. La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé pour son compte (art. 28), a sensiblement réduit la protection des données des personnes ciblées.
CNIL *Délibération SAN-2021-012 du 26 juillet 2021 * 400.000 euros d’amende