Municipales 2020 : une plateforme de signalement

Pour le bon déroulement des municipales 2020, la Cnil a lancé en décembre 2019 une plateforme de signalement à disposition des citoyens.

En période électorale, les réseaux sociaux font partie de la stratégie de communication numérique de tout bon candidat en campagne. Mail, post, tweet ou vidéo font partie des nouvelles formes d’expression de la vie politique en ligne. Surtout, ils permettent d’atteindre à moindre coût, un grand nombre d’électeurs potentiels.

D’une part, cette communication doit être respectueuses des données personnelles. D’autre part, elle nécessite du discernement.

De nombreux électeurs ont signalé à la Cnil leurs inquiétudes quant aux conditions d’utilisation de leurs données par les candidats. Elle a par conséquent créé une plateforme qui permet à toute personne de signaler une pratique qu’elle estimerait non conforme.

Le fonctionnement de la plateforme de signalement

Son fonctionnement est simple. Toute personne contactée par un candidat ou un parti politique dans le cadre des élections municipales 2020 peut signaler une conduite qu’elle jugerait non conforme au RGPD.

La Cnil invite donc la personne à faire son signalement à l’aide du message suivant :

Vous avez été contacté(e) par un candidat ou un parti politique dans le cadre des élections municipales et vous vous interrogez sur cette pratique, signalez-la à la Cnil. Votre signalement ne sera pas nécessairement considéré comme une plainte. Il nous permettra d’identifier des pratiques qui justifieraient une intervention de notre part. Vos coordonnées nous permettront d’en accuser réception et de vous contacter éventuellement, afin d’obtenir des informations complémentaires ».

Sur la base de ces signalements, la Cnil indique qu’elle pourra « si nécessaire, opérer des contrôles auprès des acteurs concernés ».

Les mesures que la Cnil peut adopter après le signalement d’une pratique illégale

Ces « mesures correctrices » consistent à mettre en demeure le responsable de traitement ou son sous-traitant de :

satisfaire aux demandes d’exercice de droits présentées par les personnes concernées ;
mettre les opérations de traitement en conformité avec la loi ;
rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données ;
notifier aux destinataires des données les mesures qu’il a prises.

La mise en demeure peut éventuellement être publique. La Cnil peut fixer un délai de mise en conformité de vingt-quatre heures en cas d’extrême urgence.

En cas de non-conformité dans le délai imparti, la Cnil peut prononcer, un avertissement ou une sanction pécuniaire.

Municipales 2020 : gare aux dérapages

L’Observatoire des élections de la Cnil a émis des recommandations en novembre dernier « pour des élections respectueuses des données personnelles », notamment en matière de communication politique par téléphone, SMS, MMS et par courrier électronique.

Elle rappelle qu’en la matière, le RGPD met à la charge des responsables de traitement une obligation de transparence à l’égard des personnes concernées et une obligation d’information renforcée que les données soient collectées « directement ou indirectement » auprès d’elle. Pour les candidats et les partis politiques, cela se traduit par « l’obligation d’informer les personnes concernées au moins lors de l’envoi du premier message, si les personnes ne disposent pas déjà de ces informations ».

Rappelons que cette information doit être faite « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (Règl. UE 2016/679, art. 12, 1°). Outre l’identité et les coordonnées du responsable de traitement, les candidats et partis doivent notamment mentionner dans leur communication politique :

l’origine des données utilisées en cas de collecte indirecte (listes électorales, base de données commerciale de telle société, réseaux sociaux, achat de bases de données de contacts par exemple) ;
les droits dont disposent les personnes concernées (droit d’accès, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition) ainsi que la manière dont ils peuvent les exercer.

Enfin, en cas de pratique jugée illégale, la Cnil est susceptible d’adopter rapidement des mesures correctrices conformément au RGPD.

Alain Bensoussan,
Mél : alain-bensoussan@lexing.law
L.D. : +33 (0)6 19 13 44 46

La Cnil lance une plateforme Données & design RGPD

Le Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.

La Cnil s’oppose à la reconnaissance faciale aux abords des lycées

La Cnil considère que la reconnaissance faciale pour sécuriser et fluidifier l’entrée dans les lycées n’est ni adaptée ni proportionnée aux finalités poursuivies.

A l’origine, il s’agissait d’une expérimentation de reconnaissance faciale pour le contrôle d’accès menée par la région PACA durant toute une année scolaire dans deux lycées marseillais et niçois.

La finalité de ce traitement était de prévenir les intrusions et les usurpations d’identité et de réduire la durée des contrôles à l’entrée des lycées.

Le dispositif de reconnaissance faciale

Le dispositif de « portique virtuel » mis en place permettait au personnel en charge du contrôle d’accès d’être prévenu si la forme du visage (écartement des yeux, forme de la bouche) ne correspondait pas à une forme figurant dans la base de données de reconnaissance faciale des lycéens.

S’agissant d’un traitement biométrique, le dispositif a fait l’objet d’une analyse d’impact relative à la protection des données (AIPD) par la région PACA, et dont la version finalisée a été transmise à la Cnil fin juillet 2019.

Le bilan de l’expérimentation s’est avéré négatif. Les principales oppositions de la Cnil portent sur l’atteinte à deux grands principes posés par le RGPD : la « proportionnalité » et la « minimisation » des données.

Rappelons que l’utilisation de données biométriques, et en particulier la reconnaissance faciale, implique des risques accrus pour les droits des personnes concernées. Il est crucial que le recours à de telles technologies se déroule dans le respect des principes de licéité, nécessité, proportionnalité et minimisation des données telles qu’énoncées dans le RGPD.

Les principes de proportionnalité et de minimisation

Le principe de proportionnalité a été introduit dans la loi Informatique et libertés dès 2004, afin d’assurer un équilibre entre les prérogatives du responsable du traitement et les droits des personnes concernées. Le RGPD réaffirme ce principe sous le couvert du principe de minimisation des données qui consiste à ne traiter que des informations adéquates, pertinentes et nécessaires à la finalité du traitement.

Le principe de proportionnalité a été mis en œuvre par la Cnil pour refuser notamment la géolocalisation des jeunes conducteurs pour un service d’assurance basé sur le concept « pay as you drive » et l’usage de la biométrie dite « de confort » pour l’entrée des enfants dans un centre de loisirs.

Elle estime que de tels dispositifs mis en œuvre en dehors de forts enjeux de sécurité, ne peuvent être imposés aux personnes concernées, y compris au titre de l’intérêt légitime du responsable du traitement.

Dans le cas présent, la Cnil considère qu’en présence de moyens alternatifs moins intrusifs, tel qu’un contrôle par badge, le recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée apparaît disproportionné.

Isabelle Pottier

Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Présentation du bilan d’activité 2018 et des enjeux 2019 de la Cnil

La Cnil a rendu public le 15 avril 2019 son bilan d’activité pour l’année 2018, qui restera marquée par l’entrée en application du RGPD.

L’occasion pour sa nouvelle présidente Marie-Laure Denis d’évoquer les enjeux de la Commission en 2019.

2018, année du RGPD

Comme le souligne la Cnil dans son communiqué du même jour, l’entrée en application du RGPD aura marqué une « prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers », qui s’est logiquement traduite par une « augmentation considérable des plaintes adressées à la Cnil, avec une tendance à la hausse qui s’installe ».

2018, une année exceptionnelle

La Cnil justifie ce caractère exceptionnel :

d’une part, par l’effet médiatique de l’entrée en application effective du RGPD le 25 mai dernier (et, dans la foulée, de la promulgation de la loi du 20 juin 2018 relative à la protection des données personnelles) ;
d’autre part, par la sensibilité accrue des citoyens sur les enjeux liés à la protection de leurs données : selon un sondage IFOP réalisé en avril pour la Cnil, 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.

Un nombre record de plaintes

Une chose est sûre : 2018 aura été « l’année de tous les records, en nombre de plaintes notamment (+32 %) », la Cnil se félicitant qu’elle soit « clairement identifiée comme une source d’information de référence pour les professionnels et le grand public ».

Un tiers des 11.077 plaintes déposées concerne les données publiées sur internet, 21 % concerne la prospection, puis les RH et les banques. Sans oublier les « nouvelles tendances » :

le visionnage à distance des images issues des dispositifs vidéo, notamment par l’employeur, pointant un risque de surveillance excessive des employés ;
l’installation de caméras dans des unités de soin, filmant ainsi des personnes vulnérables pour leur « sécurité » ;
le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
la sécurité de ses données personnelles, et pas seulement sur internet ;
les craintes quant aux données auxquelles les applications mobiles accèdent dans son smartphone.

Environ 20 % des plaintes font désormais l’objet d’une coopération européenne.

Une activité répressive au service de la sécurité des données

La Cnil a réalisé 310 contrôles en 2018, dont :

204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo)
51 contrôles en ligne
51 contrôles sur pièces
4 auditions

Dans l’immense majorité des cas, la simple intervention de la Cnil se traduit par une mise en conformité de l’organisme.

11 sanctions ont été prononcées par la formation restreinte en 2018 :

10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles.) ;
1 avertissement non public ;
1 non-lieu.

Le DPO, chef d’orchestre de la conformité RGPD

S’agissant du Délégué à la Protection des Données (DPD ou DPO en anglais pour Data Protection Officer), nouvel acteur clé de la conformité Informatique et libertés, le rapport souligne que 18 000 délégués à DPO ont été désignés en 2018 pour 51 000 organismes.

A noter également que fin 2018, 1.170 violations de données avaient été notifiées à la Cnil, laquelle est par ailleurs l’une des quatre autorités européennes ayant eu le plus de procédures à traiter en tant qu’autorité cheffe de file.

Les objectifs en 2019 : le RGPD, clé de voûte d’un numérique de confiance

Les enjeux 2019 consisteront à réussir la mise en œuvre du RGPD, à approfondir la capacité de la Cnil d’expertise sur les infrastructures et plateformes numériques et à continuer à peser dans les discussions européennes et internationales. Objectif : « rehausser le niveau de confiance dans l’économie numérique »

Parmi les acteurs que la Commission entend plus particulièrement accompagner en 2019 figurent les collectivités territoriales, avec un guide RGPD à leur attention qui sera publié très prochainement

La Cnil portera également en 2019 une attention particulière aux start up : plusieurs ateliers organisés à leur attention ont déjà eu lieu depuis le début de l’année afin de mieux comprendre ces acteurs et adapter les contenus qui leur sont destinés. La Cnil, qui publiera prochainement un dossier spécial RGPD qui leur est consacré ainsi qu’un kit de bonnes pratiques pour les développeurs d’applis/SI.

2019 : la fin d’une certaine forme de tolérance

La Cnil a indiqué qu’elle vérifierait pleinement en 2019 le respect des nouvelles obligations découlant du RGPD et en tirerait les conséquences avec discernement.

Il s’agit là de « la fin d’une certaine forme de tolérance liée à la transition » entre l’ancienne législation et le RGPD.

La Cnil vérifiera ainsi pleinement « le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire ».

Mais comme par le passé, « la Cnil fera preuve de discernement dans le choix des mesures correctrices. Les textes prévoient toute une palette de réponses : clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire ». Pour choisir la réponse appropriée, elle « tiendra ainsi compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

La Documentation Française, 2019, 99 p.

Télécharger le Rapport annuel

Nouveau protocole de coopération entre la Cnil et la DGCCRF

La Cnil et la DGCCRF signent un nouveau protocole de coopération afin d’adapter leur collaboration aux nouveaux enjeux numériques.

Le 7 janvier 2011, la Cnil et la DGCCRF avaient signé un protocole de coopération destiné à renforcer la protection des données personnelles des consommateurs aux fins de sensibilisation de ces derniers, ainsi que des professionnels.

Pour mémoire, les grandes lignes de ce protocole de coopération étaient les suivantes :

la coopération était structurée au sein des deux entités autour du service des contrôle (pour la Cnil) et du service national des enquêtes (pour la DGCCRF) ;
l’objectif de la coopération était de permettre une meilleure circulation des remontées du terrain entre les deux entités : les potentiels signalements constitutifs d’infractions en matière de protection des données personnelles et les pratiques contraires aux dispositions notamment du Code de la consommation ;
le protocole prévoyait également la possibilité pour les deux entités de réaliser des missions d’information, de réflexion et de contrôle, pouvant être conduites de manière conjointe, ainsi que la mise en place d’actions communes de formation professionnelle aux fins de sensibilisation.

Le 31 janvier 2019, quelques mois seulement après l’entrée en application du Règlement général sur la protection des données (RGPD), ces deux autorités ont décidé de signer un nouveau protocole de coopération afin d’adapter leur collaboration aux nouveaux enjeux numériques.

Les nouveaux axes de coopération de la Cnil et de la DGCCRF

Si le nouveau protocole de coopération n’a pas encore été publié, les principaux axes de renforcement de la coopération ont d’ores et déjà été dévoilés :

la sensibilisation des consommateurs aux risques de communication de leurs données personnelles, ainsi que la diffusion de bonnes pratiques à mettre en œuvre pour les professionnels ;
l’amélioration des échanges d’informations concernant tant le droit de la consommation que la protection des données personnelles, ainsi que la réalisation de contrôles en commun ;
la mutualisation des expertises et des outils d’enquêtes ;
la jonction des propositions d’actions auprès des autorités européennes.

Une volonté forte d’amélioration de la protection des données personnelles auprès des consommateurs

Pour rappel, le 21 janvier 2019, soit 10 jours avant cette annonce, la Cnil a infligé une amende de 50 millions d’euros à la société américaine Google LLC pour violation du RGPD, invoquant un manque de transparence, d’information pour les utilisateurs ainsi qu’un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.

Ce nouveau protocole de coopération démontre une nouvelle fois la volonté de ces autorités d’améliorer la protection des consommateurs et de leurs données personnelles, dans la continuité du RGPD.

Eve Renaud-Chouraqui
Sarah Rosenbach
Lexing Concurrence Propriété industrielle contentieux

Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

Le cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

connaître le pouvoir de contrôle et de sanction de la Cnil ;
savoir se défendre devant la formation restreinte de la Cnil ;
connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

Données de géolocalisation: mises en demeure FIDZUP et SINGLESPOT

La Cnil clôt les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT collectant des données de géolocalisation à des fins de ciblage publicitaire.

Le 29 novembre 2018, la Cnil (Commission nationale de l’informatique et des libertés) a levé les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT, prononcées respectivement les 19 juillet et 23 octobre 2018, lesquelles avaient manqué à leur obligation de recueillir le consentement des utilisateurs des applications mobiles fournies par leurs partenaires et par lesquelles elles collectent des données de géolocalisation à des fins de ciblage publicitaire.

Les sociétés FIDZUP et SINGLESPOT proposent des services pour la réalisation de campagnes publicitaires mobiles grâce aux données de géolocalisation recueillies par leurs logiciels SDK (« Software Development Kit ») intégrés dans ces applications mobiles. Les données de géolocalisation collectées sont ensuite croisées avec les points d’intérêts (les magasins de partenaires et de concurrents fréquemment visités) de l’utilisateur du smartphone, afin d’obtenir son profil personnalisé. Cet utilisateur recevra, par la suite, et grâce à ce système, des publicités ciblées.

L’information des personnes concernées quant à la mise en place d’un traitement de données de géolocalisation à des fins de ciblage publicitaire

Au regard du caractère particulièrement intrusif des traitements de données de géolocalisation à des fins de ciblage publicitaire dans la vie privée des utilisateurs, il est nécessaire de recueillir le consentement de ces derniers avant de procéder à de tels traitements. Cela peut se formaliser par la mise en place d’une fenêtre contextuelle (« pop-up ») ou une bannière contenant une information claire et une case à cocher ou bien un bouton permettant à l’utilisateur de refuser que ses données soient traitées à des fins de géolocalisation. Ce consentement n’était pas valablement collecté par les sociétés en cause, premier point sur lequel la Cnil a demandé à ces sociétés de se conformer, à l’occasion de ses mises en demeure. La Cnil a, dans sa décision du 29 novembre 2018, constaté que les modèles de bannières et de pop-ups mis en place par les sociétés FIDZUP (1) et SINGLESPOT (2) sont désormais conformes aux dispositions de l’article 7 du Règlement Général sur la Protection des données (RGPD) (3).

Cette clôture des mises en demeure permet à la Cnil de rappeler à nouveau les critères de validité du consentement, à savoir qu’il soit exprimé de façon libre, spécifique, éclairé et univoque. Les contrôles de la Cnil ont révélé que les utilisateurs des applications mobiles sont peu informés quant aux finalités d’une telle collecte, de ses destinataires et encore moins de la présence d’un SDK (outil permettant de collecter les données de géolocalisation) dans l’application. En effet, l’esprit du RGPD vise à remettre l’utilisateur au cœur de la maîtrise de ses données. Ce dernier doit avoir le choix d’opter pour une ou plusieurs finalités de traitement. L’utilisateur doit également être informé des droits qu’il peut exercer concernant le traitement de ses données à caractère personnel par le responsable du traitement ou tout autre destinataire de ses données.

La mise en place de garanties pour la sécurité des données à caractère personnel collectées auprès des utilisateurs

Afin de minimiser les risques de pertes en cas de violation de données, il convient, notamment, d’établir une durée de conservation adéquate des données concernées et de mettre en place une purge des données pertinente. Cette politique de durée de conservation et de purge des données n’était pas valablement mise en place par la société SINGLESPOT, second point sur lequel la Cnil a demandé à cette société de se conformer lors de sa mise en demeure du 23 octobre 2018. La Cnil a ainsi, dans sa décision du 29 novembre 2018, relevé que la société SINGLESPOT a mis en place une politique de durée de conservation des données appropriée. Toutefois, la Cnil ne précise pas, à l’occasion de cette décision, les règles à respecter en matière de durée de conservation, en particulier des données de géolocalisation, et notamment lorsque les données sont traitées à des fins publicitaires. A titre d’exemple, la Cnil a indiqué, à l’occasion d’une recommandation du 25 juillet 2018, que les données de géolocalisation des véhicules de salariés ne doivent pas être conservées plus de deux mois par le responsable du traitement (4). Dans l’attente d’autres recommandations de la Cnil à ce sujet, il convient de mettre en place des durées de conservations adéquates et limitées au regard des finalités prévues pour le traitement concerné.

En outre, la société SINGLESPOT a pris des mesures de sécurité en interne. Elle a, notamment, mis en place un système d’authentification par mots de passe, afin d’accéder aux bases de données contenant des données à caractère personnel. La société SINGLESPOT a également prévu l’anonymisation des données à caractère personnel conservées dans ses bases de développement.

La conformité du traitement de données de géolocalisation à des fins de ciblage publicitaire réside, ainsi, dans une plus grande transparence de la part des responsables du traitement à l’égard des personnes concernées et la possibilité de donner à l’utilisateur un rôle déterminant dans la gestion de ses données.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Décision n°2MED-2018-023 du 29 novembre 2018 clôturant la décision n°MED-2018-023 du 25 juin 2018 mettant en demeure la société FIDZUP
(2) Décision n°2MED-2018-043 du 29 novembre 2018 clôturant la décision n°MED-2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(4) Cnil, Post du 25 juillet 2018 sur la géolocalisation des véhicules des salariés

Condamnation de la société Uber à une amende de 400 000 euros

La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles.

Violation par la société Uber des exigences de protection des données

Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1).

En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées.

Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux).

La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées.

Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs.

L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel.

Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs.

La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber.

Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites.

Condamnation par la Cnil et publication de la décision

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision.

Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce.

A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique.

L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service.

En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber.

Autres condamnations en Europe

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français.

Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque.

L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD.

Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Cnil, Délib. SAN-2018-011 du 19-12-2018

RGPD : les labels Cnil attribués au cabinet Lexing en 2018

La Cnil a attribué en 2018 au cabinet ses labels « Formation RGPD » et « Gouvernance RGPD ».

Labels Cnil

Gouvernance RGPD – Par délibération en date du 24 mai 2018, la Cnil a délivré au cabinet le label « Gouvernance RGPD » pour la procédure de gouvernance tendant à assurer la protection des données au sein du cabinet.

Formation RGPD – Par délibération en date du 21 juin 2018, la Commission a délivré au cabinet le label « Formation RGPD » pour sa formation intitulée « Lexing® formation Informatique et libertés ».

S’agissant de ces deux demandes de labellisation, la Cnil a reconnu que tant la procédure de gouvernance portant sur le RGPD que la formation Informatique et libertés précitées étaient conformes au référentiel auquel il se rapporte.

Ces deux labels sont délivrés pour une durée de trois ans.

Audit Informatique et libertés

Par une délibération du 30 juin 2016, le cabinet s‘était vu renouveler par la Cnil, également pour une durée de trois ans, son label « Audit de traitements » pour sa procédure d’audit intitulée « Lexing® audit Informatique et Libertés ».

Il s’agit des trois labels Cnil actuellement attribués au cabinet.

Mise en demeure de la Cnil à l’encontre de la société Auxia

La société Auxia a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Auxia avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Auxia a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Auxia a utilisé ces données à des fins commerciales, et plus précisément pour proposer des produits d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

La Cnil a également constaté, que lors d’une campagne de prospection téléphonique, certaines conversations avaient été enregistrées sans que les personnes contactées ne soient systématiquement informées de cet enregistrement.

Il s’agit là d’un manquement au I de l’article 32 de la loi Informatique et Libertés, dans sa version applicable aux faits de l’espèce, qui impose de fournir à la personne concernée une information en cas d’enregistrement d’une conversation téléphonique.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Auxia en demeure de cesser le détournement de finalité précité et de procéder à l’information des personnes dont les données avaient été traitées, notamment en ce qui concerne les enregistrements téléphoniques, sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Auxia est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Auxia se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-036 du 25-9-2018
(2) Délibération n°2018-332 du 11-10-2018

Mise en demeure de la Cnil à la société Grand Est Mutuelle

La société Grand Est Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

Au terme de ce contrôle, la Cnil a constaté que la société Grand Est Mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Grand Est Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Grand Est Mutuelle a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Grand Est Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le Bureau a décidé de rendre publique cette mise en demeure.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Grand Est Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Grand Est Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-035 du 25-9-2018
(2) Délibération n°2018-329 du 11-10-2018

Mise en demeure Cnil à la société Mutuelle Humanis Nationale

La société Mutuelle Humanis Nationale a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle la Cnil a constaté que la société Mutuelle Humanis Nationale avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Mutuelle Humanis Nationale a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Mutuelle Humanis Nationale a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Mutuelle Humanis Nationale en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Mutuelle Humanis Nationale est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Mutuelle Humanis Nationale se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018