CNIL - ACTUALITE DE LA FORMATION RESTREINTE - SANCTIONS

LUSHA 1 - CNIL O

Comment la société américaine LUSHA au travers de sociétés ecrans fictives, a-t-elle littéralement pu «aspirer» à leur insu  - aux fins de revente ultérieure à «1 dollar le ticket numéro de mobile/e-mail» -  l’intégralité des données et informations figurant aux fiches «contacts» des smartphones de millions d'utilisateurs français, durant plusieurs années,  sans se faire sanctionner par la CNIL et bien pire, obtenir de sa formation restreinte un «non-lieu public inédit» prononcé contre l’Avis motivé de son Rapporteur ?

Cette position inédite de la CNIL dans l’affaire LUSHA s’inscrit à contre-courant de son actualité du moment, à savoir, ses engagements pris dans le cadre de son plan d’action “Applications mobiles” présenté un mois avant la décision LUSHA et aux termes duquel le smartphone, terminal personnel par définition, relève de la sphère privée et intime. Il est essentiel pour chacun de pouvoir contrôler les données auxquelles les applications mobiles ont accès. Pour autant à l’heure actuelle, les traitements de données peuvent être opaques. En particulier, les informations sur l’existence de collectes de données et les raisons pour lesquelles celles-ci sont collectées sont souvent peu claires. De même, l’utilisateur peut avoir des difficultés à comprendre la nature des autorisations qui lui sont demandées, ce qui complique l’expression de ses choix(sic)   –  Plan d’Action CNIL “Applications mobiles – Pour protéger votre vie privée” présenté le 24 novembre 2022

L’extraterritorialité du RGPD est l’une des meilleures armes de l’Union contre le pillage de nos données personnelles par des acteurs hors UE tentant de se mettre – ou faisant plutôt mine de se mettre – hors de sa portée. Par sa décision zélée voulant s’afficher comme le reflet d’une analyse juridique rigoureuse et exemplaire de la lettre du RGPD, la CNIL semble avoir omis que «le juridique sans le politique» ou «la lettre sans l’esprit» n’est que bagatelle.

CNIL * SAN-2022-024 du 20 décembre 2022

 

ANALYSE CRITIQUE

Inapplicabilité du RGPD * Article 3 RGPD


AFFAIRE LUSHA – NON LIEU A SANCTION

Analyse critique


Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha [dans la mesure où] :

– la société ne dispos[ait] d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;

– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, [de sorte que] le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable;

– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique [de sorte que] le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.

CNIL * Délibération SAN-2022-024 du 20 décembre 2022 Communiqué CNIL

LIL * Art. 4, 89, 97, 99 et 104


MINISTERE DE L’INTERIEUR – EMPREINTES DIGITALES

Communiqué CNIL


La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED), notamment en conservant un volume important de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données non visées par le décret FAED, en conservant, pour finir, les données pendant une durée excédant largement la durée légale.  La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED et déplore l’absence de toute information délivrée aux personnes dont les empreintes y sont conservées.

CNIL * Délibération SAN-2021-016 du 24 septembre 2021

RGPD * Articles 16, 17, 30 et 31


ANNUAIREFRANCAIS.FR – Communiqué CNIL


La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.

CNIL * Délibération SAN-2021-014 du 15 septembre 2021 * 3000 euros d’amende

LIL * Article 82


LE FIGARO.FR – Communiqué CNIL


La CNIL considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE DU FIGARO – de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté.

CNIL * Délibération SAN-2021-013 du 27 juillet 2021 * 50.000 euros d’amende

RGPD * Art. 4(7), 14(5)(b), 28, 55-1


MONSANTO – Communiqué CNIL


La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques. La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé pour son compte (art. 28), a sensiblement réduit la protection des données des personnes ciblées.

CNIL *Délibération SAN-2021-012 du 26 juillet 2021 * 400.000 euros d’amende