Petit-déjeuner Informatique et libertés : bilan et perspectives

activité 2018 de la CnilAlain Bensoussan animera le 11 septembre 2019 un petit-déjeuner débat sur le thème « Informatique et libertés : Bilan et perspectives ».

Informatique et libertés : bilan d’activité de la Cnil

2018 restera comme l’année de l’entrée en application effective du RGPD et celle d’une phase de transition entre l’ancienne législation et la nouvelle.

La Cnil a rendu public en avril son dernier bilan d’activité. En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises.

Le dernier rapport d’activité de la Cnil montre une hausse considérable des plaintes (+32,5 %) dont un tiers concerne la diffusion de données sur internet, 21 % concerne la prospection (notamment pas SMS), 16,5 % le secteur du travail (vidéosurveillance, géolocalisation, cybersurveillance) et 8,9 % le secteur des banques et du crédit (fichiers d’incidents de la Banque de France).

Par ailleurs, au cours du dernier trimestre 2018, la Cnil signale avoir reçu de nombreuses demandes de particuliers ; ces dernier désireux d’exercer leurs droits (accès, opposition, portabilité) et d’obtenir des conseils pour faire aboutir leur demande.

Informatique et libertés perspectives : stratégie de contrôle de la Cnil pour 2019

La Cnil vient de mettre en ligne son sa stratégie de contrôle pour 2019.

Cette année, la Commission a annoncé concentrer son action sur trois grandes thématiques, directement issues de l’entrée en application du RGPD :

  • le respect des droits des personnes (droit d’accès, à l’oubli, à la portabilité des données, etc.) ;
  • le traitement des données des mineurs (réseaux sociaux, biométrie dans les écoles, etc.) ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants (contrats de sous-traitance).

Dans le cadre de ce petit-déjeuner débat, nous vous proposons de préciser les actions à mettre en œuvre pour assurer la conformité de vos activités à la nouvelle réglementation Informatique et libertés.

Le petit-déjeuner débat aura lieu le 11 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 

 




Impact du bilan d’activité de la Cnil sur les entreprises

cnilPetit-déjeuner Informatique et libertés du 31 mai 2013 – Alain Bensoussan, a animé un petit-déjeuner débat consacré au 33e rapport de la Cnil et aux plans de mise en conformité qui s’imposent aux entreprises pour anticiper la réforme du cadre légal européen en matière de protection des données.

L’année 2012 a été marquée par une forte activité pour la Cnil. Elle a en effet reçu un nombre record de plaintes (6017 : soit + 4,9 % par rapport à 2011) dont on peut relever la répartition suivante :

  • 31 % dans le secteur de l’internet et des télécoms en grande partie sur le « droit à l’oubli numérique » (1 050 plaintes ont concernées la suppression de textes, photographies, vidéos, coordonnées ou commentaires)
  • 15 % dans le secteur du travail (vidéosurveillance, géolocalisation, accès au fichier professionnel)
  • 10 % dans le secteur bancaire (inscription au FICP, FCC, etc.)

Elle a réalisé 458 contrôles (soit + 19 % par rapport à 2011) qui ont abouti à 43 mises en demeure, 4 sanctions pécuniaires, 9 avertissements, 1 injonction de cesser le traitement. Les contrôles ont surtout portés sur :

  • les dispositifs de vidéoprotection : 173 contrôles
  • les données personnelles et la vie quotidienne : des contrôles de grande ampleur ont été effectués notamment auprès des fournisseurs d’énergie, de services de communications électroniques et de sociétés d’autoroute
  • la sécurité des données de santé : une vingtaine de contrôles ont été effectués auprès d’hébergeurs agréés, pharmaciens, groupe hospitalier, laboratoires d’analyse médicale, prestataires développant des logiciels ou produits destinés à traiter des données de santé
  • les failles de sécurité : de nombreux contrôles ont été réalisés dans le cadre d’alertes reçues par la Cnil

L’activité s’annonce également riche en actions pour l’année 2013-2014, au vu du programme des contrôles annoncés par la Cnil.

Nous vous avons proposé à l’occasion de ce petit-déjeuner d’aborder les d’actions qui s’imposent aux entreprises au vu du bilan d’activité de la Cnil et du projet de Règlement européen sur la protection des données personnelles qui sera très prochainement adopté.

La conférence a eu lieu dans nos locaux, 29 rue du Colonel Pierre Avia, 75015 Paris.




Rapport d’activité de la Cnil 2012 : bilan et tendances

Rapport d'activité Data ProtectionLa Cnil vient de publier son 33ème rapport d’activité 2012. L’année a été marquée par une forte augmentation des activités de contrôle et de sanction de la Cnil. Ainsi, 458 contrôles ont été effectués en 2012 soit une croissance de 19 % par rapport à l’année 2011. De plus, le nombre de plaintes a connu un essor très important par rapport à l’année précédente, plus de 6000 plaintes ayant été enregistrées.

Dans son rapport d’activité, la Cnil confirme la tendance observée en 2011 quant au nombre important de plaintes relatives à l’internet aux télécommunications (31 % des plaintes reçues) et plus particulièrement en relation avec des problématiques de « droit à l’oubli numérique » : 1 050 plaintes ont concernées la suppression de textes, photographies, vidéos, coordonnées, ou commentaires.

Au-delà de ces chiffres, le rapport d’activité 2012 se caractérise par de nombreuses initiatives de la Cnil pour accompagner les entreprises dans leur démarche de conformité avec les exigences issues de la réglementation Informatique et libertés :

  • Publication de fiches pratiques sur les données personnelles au travail ;
  • Élaboration d’un guide de la sécurité informatique comprenant une méthode et un catalogue de mesures pour aider les entreprises à gérer les risques sur la vie privée ;
  • Mise en place d’un « pack de conformité » destiné aux acteurs du secteur du logement social.

La Cnil a également vu ses compétences élargies au travers de :

  • la mise en œuvre de son pouvoir de labellisation en matière de formation et d’audit Informatique et libertés. Le cabinet Alain Bensoussan a d’ailleurs été labellisé pour son catalogue de formations Lexing Informatique et libertés ;
  • la mission qui lui est confiée de traitement des notifications des violations de données personnelles émanant des fournisseurs de services de communications électroniques.

Enfin, l’année 2012 marque le début d’une grande réforme de la protection des données en Europe. La Cnil participe ainsi activement aux travaux portant sur le projet de règlement général sur la protection des données.

Ce projet prévoit notamment de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption de l’approche Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données.

Le rapport d’activité 2012 annonce également riche en actions pour l’année 2013-2014, au vu du programme des contrôles annoncés. En effet, la Cnil entend augmenter encore le nombre de ses contrôles sur les thèmes qu’elle juge prioritaires :

  • la protection des personnes vulnérables ;
  • la coopération internationale ;
  • le traitement des données par les instituts de sondage ;
  • les données traitées dans le cadre de l’internet en libre accès ;
  • le traitement par les collectivités locales des données relatives aux difficultés sociales des personnes ;
  • les données des personnes détenues en établissements pénitentiaires ;
  • le contrôle des services opérationnels de police et de gendarmerie.

Il est donc indispensable pour les entreprises de mettre en œuvre des actions visant à assurer la conformité de leur activité à la réglementation Informatique et libertés et à anticiper la réforme du cadre légal en matière de protection des données.

Chloé Torres
Lexing Droit Informatique et libertés




Les contrôles de la Cnil : bilan et tendances

ContrôleLa Cnil dresse son bilan des contrôles 2012 et fixe les tendances pour 2013. Elle projette ainsi 400 contrôles, ce qui doit amener les entreprises à se mettre en conformité avec la loi sur la protection des données à caractère personnel pour éviter tout risque de sanctions.
Ces contrôles porteront, en priorité, sur les traitements concernant des personnes fragiles ou vulnérables avec un appel à la coopération internationale entre les autorités européennes de protection des données.

Chloé Torres L’Usine nouvelle, le 18 avril 2013




e-commerce et la relation-clients : une étude de la DGCCRF

e-commerce et la relation-clientse-commerce et la relation-clients : la DGCCRF a publié en décembre 2012 les résultats de son enquête concernant le développement  du e-commerce et la relation-clients. Cette étude s’inscrit dans un contexte de développement très soutenu de ce mode de distribution avec un chiffre d’affaires en augmentation annuelle de près de 20 % sur les dernières années et un nombre de sites qui a plus que doublé en cinq ans (de 47 300 sites en 2008 à plus de 109 000 sites en 2012 en France).

Afin de cerner les grandes tendances relatives aux réclamations des clients des sites en ligne, la DGCCRF a répertorié les différentes plaintes déposées par les consommateurs entre 2008 et 2011 au sein d’un « baromètre des réclamations » par secteur et par pratique et les a analysées.

La première observation révèle que l’ensemble des des consommateurs relatives à la vente à distance sur Internet a évolué à la baisse entre 2008 et 2011, passant de 27 600 plaintes à 19 401 plaintes en 2010, avant d’augmenter à nouveau sur la période 2010-2011 (+ 9,2 %), à l’inverse de la tendance générale de l’ensemble des plaintes de consommateurs qui ont continué à diminuer en 2011 (-2,3 %).

Le secteur de la vente des produits de grande consommation sur Internet (comprenant les produits alimentaires et les équipements de la personne et de la maison) semble être le principal touché, dans la mesure où les plaintes y ont augmenté de 20,7 % entre 2010 et 2011, là où le total des plaintes de ce secteur toutes formes de vente confondues n’a augmenté que de 1,5 % sur la même période. De même, les plaintes relatives au secteur de la santé ont augmenté de 33,1 % pour le e-commerce contre 4,4 % pour l’ensemble des formes de ventes.

Un autre chiffre clé de l’enquête révèle qu’en 2011, la part des plaintes de consommateurs relatives à la vente à distance par Internet constitue pratiquement le quart de l’ensemble des plaintes (23,5 %), tous secteurs confondus. Concernant la répartition de ces plaintes par secteur, on constate une forte prééminence du secteur du commerce des produits de grande consommation, pour lequel 43,2 % des plaintes sont des plaintes provenant des ventes sur Internet, avec une pointe pour le commerce des équipements de la personne (59,1 % des plaintes). De même, le secteur de la santé est particulièrement touché (23,2 %), ainsi que la catégorie sport-loisirs-jardin-animaux (38,8 %).

Concernant plus spécifiquement la nature des plaintes de consommateurs, la DGCCRF les a subdivisées selon ses trois grandes missions, à savoir la régulation concurrentielle des marchés, la protection économique du consommateur et la sécurité des consommateurs.

C’est en matière de protection économique du consommateur, et plus particulièrement de défaillances relatives à l’information générale sur les prix et les conditions de vente, que les réclamations des clients ont été les plus nombreuses (3984 plaintes sur 8259 plaintes relatives à la vente à distance reçues en 2011). Ces défauts d’information ont été majoritairement relevés dans les secteurs des produits de grande consommation (2031 plaintes), de l’hôtellerie-restauration-tourisme (381 plaintes), de la communication-téléphonie (363 plaintes) et du sport-loisirs-jardin-animaux (309 plaintes).

Les autres sources de plaintes ont été relevées dans le domaine des règles et conditions de la vente à distance et de la VPC (2592 plaintes) et les règles de loyauté (597 plaintes) avec, pour ces deux types de pratiques, une prééminence des plaintes relatives aux produits de grande consommation.

Les deux autres grandes familles de pratiques litigieuses sont moins incriminées par les consommateurs, avec seulement 356 plaintes pour la régulation concurrentielle des marchés, dont 225 en matière de contrefaçon, et 128 plaintes relatives à la sécurité des produits. Là encore, c’est le secteur des produits de grande consommation qui est le principal visé.

Cette étude met en lumière les points les plus fréquemment à l’origine de plaintes de la part des consommateurs. Elle permet aux e-commerçants d’identifier les principaux points à passer en revue pour renforcer la sécurité juridique de leur site et ainsi déterminer un plan d’actions adapté.

Rapport DGCCRF 12 2012 e-commerce et la relation clients




Impact du bilan d’ activité de la Cnil sur les entreprises

activité de la Cnil Petit-déjeuner débat du 26 septembre 2012 – Alain Bensoussan et Chloé Torres ont présenté l’ activité de la Cnil durant l’année écoulée.

Compte tenu du succès rencontré, l’évènement aura lieu : salle « Grand Equateur » du Club Forst Hill – Aquaboulevard (face à nos locaux : Plan d’accès)

Parmi les sujets qui ont préoccupé la Cnil, figurent en bonne place :

  • le fichage et la surveillance en entreprise : les entreprises ont de plus en plus d’outils pour capter et stocker des données, mais elles ne s’en servent pas toujours dans les règles ;
  • le transfert des données personnelles à l’étranger par les entreprises : elles sont de plus en plus nombreuses à recourir à des « règles internes d’entreprise », dites BRC ;
  • les offres de Cloud computing au regard de la protection des données personnelles et de la sécurité : la Cnil a lancé une consultation auprès des professionnels qui a donné lieu à des recommandations ;
  • le lancement des premiers labels Cnil : procédures d’audit de traitements et formations ;
  • l’informatisation des dossiers médicaux : la Cnil a publié un guide à l’usage des professionnels de santé ;
  • l’adoption de l’ordonnance de transposition du Paquet télécoms : la Cnil est désormais compétente pour examiner les failles de sécurité;
  • l’examen du projet de règlement européen visant à réformer la directive 95/46/CE qui rendrait obligatoire l’approche « Privacy by Design » ;
  • la sécurité des données dans les systèmes d’information avec la publication par la Cnil de deux guides pour gérer les risques sur la vie privée.

L’année 2012-2013 s’annonce également riche en actions pour la Cnil, au vu du programme des contrôles annoncés. En effet, la Cnil entend augmenter encore le nombre de ses contrôles, puisqu’elle a décidé d’en effectuer 450 (contre 400 en 2011) sur les thèmes qu’elle juge prioritaires :

  • la vidéoprotection (dispositifs mis en œuvre par les communes et les établissements recevant un nombre très important de personnes) ;
  • la téléphonie (Smartphone et applications associées) ;
  • la santé (dossier médical personnel et hébergement sur le cloud) ;
  • la sécurité : FAI et failles de sécurité ; fusion des fichiers de police et de gendarmerie ;
  • les fichiers du quotidien tenus par les entreprises fournissant des services de première nécessité (eau, gaz, électricité, etc.).

Nous vous proposons, au cours de ce petit-déjeuner, d’aborder les plans de mise en conformité qui s’imposent aux entreprises au vu de l’activité de la Cnil.

Le petit-déjeuner débat aura lieu le 26 septembre 2012 de 9 heures à 11 heures (accueil à partir de 8 heures 30), salle « Grand Equateur » du Club Forst Hill – Aquaboulevard (face à nos locaux : Plan d’accès)

Inscription gratuite sous réserve de nous confirmer votre présence avant le 24 septembre 2012 par courrier électronique en indiquant vos coordonnées et le nombre de personnes qui assisteront au petit-déjeuner débat à l’adresse suivante : invitation-conference@alain-bensoussan.com ou en faxant le Bulletin d’inscription joint au 01 41 33 35 36.




Nouvelles technologies et Cnil : bilan et tendances

nouvelles technologiesFace au développement des nouvelles technologies, la Cnil a souhaité créer, au sein de sa structure, un laboratoire afin de tester et d’expérimenter des produits et applications novatrices (analyses techniques, etc.).

La création de ce laboratoire permet ainsi de renforcer la mission de conseil de la Cnil auprès des entreprises en matière de protection des données personnelles.

De plus, la direction des études, de l’innovation et de la prospective (DEIP) a été créé en janvier 2011 afin de contribuer à l’identification et à l’analyse des usages innovants des technologies. Deux grandes études prospectives sur les smartphones et la vie privée ont été menées par la DEIP pour l’année 2011.

Le bilan de ces études a révélé l’existence de 19 millions de mobinautes en France dont 48% utilisent leur smartphone pour accéder à un réseau social. 74% des personnes interrogées utilisent leur smartphone avant tout à titre personnel.

Les problématiques relatives à la protection des données et de la vie privée sont évidentes puisque 30% des personnes déclarent n’avoir aucun code de protection pour verrouiller l’accès à leur smartphone.

En outre, ces études mettent clairement en évidence la méconnaissance des utilisateurs du traitement réservé à leurs données personnelles par les opérateurs et éditeurs d’application. Cette ignorance est notamment due à des conditions d’utilisation peu lisibles et au manque de transparence des acteurs dans ce domaine.

Au regard des résultats de ces études, la Cnil a élaboré un plan d’action pour l’année 2012 et souhaite ainsi s’engager dans une démarche de développement d’outils et de projets afin de mieux étudier « l’économie cachée des données personnelles » sur smartphone via son laboratoire.

La Commission souhaite ainsi recenser les bonnes pratiques des acteurs en termes d’information et de maîtrise des données personnelles par les utilisateurs et prendre en compte la priorité relative à « l’écosystème des smartphones » dans le cadre du programme de contrôle annuel de la Cnil.

32e rapport d’activité 2011




Bilan des décisions de la Cnil pour l’année 2011

bilan des décisions de la CnilLe bilan des décisions de la Cnil pour l’année 2011 est marqué par un nombre important de clôtures des mises en demeure (105 en 2011 contre 67 en 2010).

La réforme introduite par la loi du 29 mars 2011 relative aux Défenseur des droits a introduit des modifications substantielles aux pouvoirs de sanction et de mise en demeure de la Cnil.

Le taux de clôture est un bon indicateur de l’efficacité des mises en demeure qui obligent ainsi les organismes à se mettre en conformité. Une mise en demeure ne vise ainsi pas à sanctionner mais à faire débuter une phase de correction des manquements constatés.

Par ailleurs, l’avertissement est une sanction au sens de l’article 45 de la loi de 1978. Le nombre d’avertissements prononcés par la formation restreinte est plus important que celui des sanctions pécuniaires car le prononcé d’un avertissement n’est pas conditionné au prononcé d’une mise en demeure alors que la sanction pécuniaire n’est possible qu’après l’échec d’une mise en conformité.

Pour l’année 2011, 65 mises en demeure ont été prononcées, 19 sanctions ont été formulées (dont 5 sanctions financières), 13 avertissements ont été énoncés ainsi que 2 relaxes. Par exemple, et à titre non exhaustif, au cours de l’année 2011, la Cnil a prononcé des avertissements non publics pour défaut de sécurité et de confidentialité à l’égard d’un fournisseur d’accès internet le 1er décembre 2011 et d’un hébergeur de données de santé le 18 novembre 2011.

Une procédure d’urgence pour défaut de sécurité et de confidentialité a également été introduite à l’égard d’un parti politique et un avertissement a été prononcé le 21 juillet 2011.

Enfin, une sanction pécuniaire de 20000 euros pour collecte déloyale de données personnelles a été prononcée à l’égard d’une société immobilière le 1er décembre 2011. Dès 2008, le Conseil d’Etat avait qualifié la Cnil de « tribunal ». L’activité de sa formation restreinte pour l’année 2011 démontre une fois encore sa proactivité.

32e rapport d’activité 2011




Vidéoprotection et Cnil : bilan et tendances

Vidéoprotection et CnilVidéoprotection et Cnil : la loi d’orientation et de programmation pour la sécurité intérieure du 14 mars 2011 (LOPPSI 2).

Vidéoprotection et Cnil : de nouveaux pouvoirs pour la Cnil

Cette loi a permis d’étendre les pouvoirs de la Cnil concernant le contrôle des dispositifs de vidéoprotection dans les lieux ouverts au public et dans les lieux non accessibles au public.

150 contrôles de dispositifs de vidéoprotection ont été réalisés conformément aux objectifs de la Cnil. 75 % d’entre eux concernaient le secteur privé et 25 % le secteur public. 15 % des contrôles ont été effectués suite à l’instruction de plaintes car toute personne peut saisir la Cnil à propos d’une difficulté liée à un dispositif de vidéoprotection.

Les principaux points vérifiés sont liés au respect de l’autorisation préfectorale, à la durée de conservation des images, à l’information des personnes filmées, et, aux mesures de sécurité mises en œuvre pour protéger le dispositif.

La Cnil a notamment pu constater un manque d’homogénéité dans les autorisations délivrées par les différentes préfectures (zones pouvant être filmées etc.), une absence d’autorisation ou de renouvellement d’autorisation préfectorale (30 % des contrôles), une absence de déclaration à la Cnil pour les parties du dispositif relevant de la loi de 1978 (60 % des contrôles), une information des personnes insuffisante ou inexistante (40 % des contrôles), une mauvaise orientation des caméras (20 % des contrôles), une durée de conservation abusive (10 % des contrôles) et des mesures de sécurité insuffisantes (20 % des contrôles).

Vidéoprotection et Cnil : vers une meilleur compréhension des règles

Le résultat de ces contrôles s’est traduit par 3 mises en demeure et le constat de nombreux disfonctionnement techniques des dispositifs mais aussi de l’utilisation de caméras factices.

La Cnil a également pu constater de nombreuses difficultés de compréhension des dispositions et exigences de la loi informatique et libertés et de son articulation avec la loi du 21 janvier 1995.

Pour l’année 2012, la Commission a souhaité étendre ses contrôles au réseau RATP notamment au cours du 1er trimestre 2012. Son objectif est ainsi de poursuivre une politique de contrôles des dispositifs de vidéoprotection dans des lieux qui concernent un nombre important de personnes (collectivités locales etc.).

32e rapport d’activité 2011