Le Fil d’Actualité RGPD

08/10/2018 – UK – ICO (Information Commissioner’s Office) / Violation des données chez Heathrow Airport Limited (HAL) : £120,000

Faits : Le 16 Octobre 2017, une clef USB perdue par un employé du HAL a été retrouvée par un membre du public, qui a regardé son contenu (76 dossiers et plus de 1000 fichiers contenant des données personnelles d’employés, non encryptés ou protégés par un mot de passe). Cette clef a été vue et transmise à un journal national qui en fit une copie. L‘ICO a été informé par les médias.

Sécurité des données : Les entreprises doivent veiller à ce que des normes, formations et procédures adéquates soient mises en place afin de minimiser la vulnérabilité des données personnelles. A HAL, seulement 2% des employés étaient formés en protection des données et les employés utilisent des supports médias amovibles en violation du règlement d’HAL. Les contrôles et règles étaient insuffisants. Des mesures organisationnelles et techniques appropriées doivent être prises contre des traitements non-autorisés/illicites et pertes.

Sanction :  Le cas n’a pas été examiné selon les dispositions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu. Ceci étant, le HAL a été condamné à une amende de £120000 (environ 136K€) conformément au Data Protection Act 1998, compte tenu de la gravité des faits (données sensibles, mesures inappropriées et taille du HAL) et pour promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/heathrow-airport/


28/09/2018 – UK – ICO (Information Commissioner’s Office) / Violation de données chez Bupa Insurance Services Limited (Bupa) : £ 175000

Faits : Un employé a pu extraire les informations (tel que le nom, date de naissance, adresse email, nationalité) de 547 000 clients et par la suite les a vendues sur le dark web. L’ICO a été mis au courant par des plaintes des clients de la société Bupa.

Sécurité des données : Bupa a manqué à ses obligations d’évaluer le risque et de mettre en place des mesures effectives de sécurité afin de protéger les informations de ses consommateurs. Le contrôleur des données doit prendre des mesures organisationnelles et techniques appropriées contre des traitements non-autorisés et illicites.

Sanction : Le cas n’a pas été examiné selon les provisions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu (en 2017). Ceci étant, Bupa a été condamné à une amende de £175000 (environ 197K€) conformément au Data Protection Act 1998, compte tenu de la gravité des faits et pour promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/bupa-insurance-services-ltd/


20/09/2018 – UK – ICO (Information Commissioner’s Office) / Violation des données chez Equifax Ltd : £500000

Faits : La branche américaine de l’entreprise Equifax Ltd a subi une cyberattaque en 2017, affectant 146 millions de clients dans le monde, dont 15 millions de britanniques.

Sécurité des données : La branche britannique d’Equifax Ltd était responsable des données personnelles de ses clients britanniques, et a manqué à ses obligations de prendre des mesures appropriées afin d’assurer que le sous-traitant, la branche américaine, protègerait ces données (noms, dates de naissance, adresses, mots de passes, permis de conduire, informations financières).

Violation des principes en matière de données personnelles : manquement à son obligation d’assurer la sécurité des données personnelles, médiocrité des pratiques de rétention des données (les données ayant été conservées pour une durée plus longue que nécessaire), absence de but légitime, absence de base légale pour le transfert international des données de citoyens britanniques.

Sanction : Ce cas n’a pas été examiné selon les provisions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu (en 2017). Ceci étant, Equifax Ltd a été condamné à une amende de £500000 (environ 562K€) conformément au Data Protection Act 1998, ce qui représente le niveau maximum de sanction financière sous cette loi (compte tenu du nombre de victimes, du type de données exposées aux risques, et de l’attitude inexcusable d’Equifax Ltd), en vue de promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/equifax-ltd/


04/09/2018 – UK – ICO (Information Commissioner’s Office) / Injonction signifiée au London Borough of Lewisham.

Faits : Les demandes d’accès aux données personnelles par les personnes concernées faites au London Borough of Lewisham n’ont pas été traitées en temps utiles en raison de l’inefficacité des systèmes internes, des procédures et politiques de traitement de ce genre de demandes.

Exercice du droit d’accès : Dès lors qu’une demande d’accès aux données personnelles est faite par la personne concernée, le contrôleur des données doit y répondre sans retard excessif. De plus, les moyens employés pour répondre à ces demandes doivent être adéquats.

Injonction : L’ICO a donné un délai au 15 octobre pour que le London Borough of Lewisham réponde aux 19 personnes ayant fait une demande d’accès à leurs données personnelles avant le 25 Mai dernier, avec un reporting hebdomadaire des actions engagées.

https://ico.org.uk/action-weve-taken/enforcement/london-borough-of-lewisham-en-sep/


31/08/2018 – Violation de données chez Abbyy

Faits : Défaillance d’un serveur ayant rendu accessible près de 200.000 documents scannés d’un seul client de la société russe.

Information par le biais d’un communiqué (sans doute pour éviter le bad buzz possible et rassurer).


28/08/2018 – Violation de données chez Système U (site de location de voitures)

Faits : Piratage ayant entrainé une violation de données (identification, coordonnées, informations sur les réservations, pas de données de paiement)

Notification de la violation à la CNIL et par le biais d’un communiqué.


27/08/2018 – Violation de données chez T-Mobile US

Faits : Faille de sécurité potentielle détectée et rapidement corrigée, ayant pu entrainer la violation de données de probablement plus de 2 millions de victimes potentielles (nom, code postal de facturation, numéro de téléphone, adresse e-mail, numéro de compte et type de compte, pas de données de paiement)

Notification par le biais d’un communiqué.


03/08/2018 – Publication du décret n°2005-1309 venant compléter la LIL

Fixation des délais et procédures applicables aux missions de la CNIL et précision sur certaines dispositions de la loi (données médicales, moyens d’information des personnes concernées, etc.)


24/07/2018 CNIL – Sanction pour Dailymotion : 50K€

Faits : Violation de données chiffrées lors d’une attaque par l’accès aux identifiants d’un compte administrateur stockés en clair sur la plateforme collaborative de développement « Github » et exploitation d’une vulnérabilité dans le code de la plateforme Dailymotion sur « Github » : 82,5 millions d’adresses e-mails et 18,3 millions de mots de passe concernés.

Obligation de sécurité des données personnelles : des mesures élémentaires auraient pu éviter la violation : ne pas stocker en clair dans le code source des identifiants relatifs à un compte administrateur ; mettre en place des systèmes de filtrage des adresses IP ou un VPN (réseau virtuel privé) lorsque des personnes extérieures à la société peuvent se connecter à distance à un réseau informatique interne.

Sanction : elle aurait certainement été plus élevée si les données violées n’avaient pas été chiffrées.

Publication de la décision : Pour responsabiliser les responsables de traitement et vu le nombre très important de données en cause


24/07/2018 CNIL – Sanction pour l’Office Public de l’Habitat de Rennes Métropole Archipel Habitat : 30K€

Faits : Plainte reçue concernant l’utilisation par la Présidente de l’OPH (aussi Maire de Rennes) du fichier des locataires de logements sociaux pour leur transmettre un courrier politisé au sujet des APL et de la position du gouvernement.

Traitement licite : les données personnelles collectées ne peuvent être traitées pour d’autres finalités que celles qui ont justifié la collecte (ici la gestion des demandes de logement social et du parc immobilier). Si une finalité de communication externe était possible, il ne s’agissait pas ici d’une lettre d’information vu le contenu polémique du courrier (critique d’une annonce gouvernementale).

Publication de la décision : Pour rappeler à tous les acteurs du secteur social l’interdiction d’utiliser les données hors de la finalité initiale et en raison de la méconnaissance par l’OPH d’un principe fondamental de la LIL.


17/07/2018 CNIL – Clôture de la mise en demeure contre Genesis Industries Limited

A la suite de la mise en demeure de la CNIL, les réponses apportées par Genesis et les contrôles ultérieurs de la CNIL ont permis de vérifier que la reconnaissance vocale, nécessaire pour que les jouets répondent aux questions posées par les enfants, n’est plus utilisée. Les discussions avec les jouets ne sont plus transférées vers les serveurs d’une société tierce hors UE et l’utilisation des jouets ne conduit plus à mettre en œuvre un traitement de données personnelles.


02/07/2018 Communiqué de la CNIL – Quels contrôles pour 2018 ?

Les contrôles de la CNIL en 2018 suivront les mêmes grandes lignes que précédemment avec des investigations sur la base des réclamations et signalements adressés à la CNIL, des vérifications effectuées à la suite de clôtures, mises en demeure ou sanctions, des missions réalisées en fonction des sujets d’actualité et du programme annuel des contrôles sur les thématiques spécifiques retenues. Pour 2018, il s’agit des traitements de données personnelles liées au recrutement (notamment les outils d’évaluation), à l’immobilier locatif (sur les pièces justificatives demandées par les agences) et au stationnement payant réalisés avec des outils connectés.


01/07/2018 – International / Brésil – La LGPD devrait entrer en vigueur d’ici 18 mois

Après 8 ans de travail et inspirée de la Directive européenne de 1995, la 1ère loi brésilienne sur la protection des données personnelles (LGPD) va entrer en vigueur. Elle crée et uniformise un système global de protection avec 10 bases légales permettant de justifier un traitement de données personnelles (dont le consentement), une protection renforcée pour les données dites sensibles (ex. origine ethnique, opinions politiques et religieuses, préférences sexuelles et données génétiques), la création d’une autorité dédiée (ANPD), la mise en place d’une fonction de responsable de la vie privée au sein des entités publiques et privées, des obligations de notification de violation des données, des amendes pouvant grimper jusque 50 millions de real brésiliens (environ 10 millions d’euros) avec une possible interdiction des traitements incriminés.


28/06/2018 Communiqué de la CNIL – Les négligences les plus courantes en matière de sécurité des sites web

Les écueils assez faciles à éviter et pourtant les plus souvent rencontrés concernant la sécurité des sites web sont en particulier : une authentification par un mot de passe trop souple, l’absence de règles d’authentification à un compte (la seule url incrémentale suffisant à y accéder), l’absence de chiffrement des données, l’indexation des données dans un moteur de recherche.


21/06/2018 – Promulgation de la Loi n°2018-493 du 20 juin 2018 modifiant la LIL

Mise à jour de certaines dispositions vis-à-vis du RGPD, exercice des manœuvres nationales prévues au RGPD (ex. âge de la majorité numérique) et transposition de la Directive 2016/680 « Police Justice ».

D’après la CNIL, une ordonnance de réécriture complète de la loi « Informatique et Libertés » est prévue, dans un délai de six mois, afin de permettre une lisibilité du cadre juridique actuel (La LIL actuelle comporte encore des dispositions qui, d’après le RGPD, ne sont plus applicables ou ne mentionne pas certains nouveaux droits et obligations prévus par le RGPD.


21/06/2018 CNIL – Sanction pour l’association pour le développement des foyers : 75K€

Faits : Signalement adressé à la CNIL qui effectue un contrôle en ligne et alerte l’ADEF d’une violation de données personnelles (modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF, NIR, IBAN, etc. des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association) et lui demande d’y remédier. Quelques jours plus tard, la CNIL constate que, malgré que l’ADEF ait demandé à la société ayant développé son site web d’intervenir, les données sont toujours accessibles.

Obligation de sécurité et confidentialité des données personnelles : des mesures élémentaires en amont du développement du site auraient pu éviter la violation : mettre en place un dispositif permettant d’éviter la prévisibilité des url et d’une procédure d’authentification des utilisateurs du site web.

Sanction : elle aurait certainement été plus élevée si l’ADEF n’avait pas coopéré avec la cnil.

Publication de la décision : compte-tenu de la gravité de la situation liée au libre accès et au volume de documents (42652) et vu le caractère intime et complet des données concernées


CJUE 10/07/2018 – Le RGPD s’applique aux communautés religieuses

Co-responsabilité d’une communauté religieuse (témoins de Jéhovah) et de ses membres prédicateurs : la prédication par le porte-à-porte n’est pas une activité exclusivement personnelle et domestique de chaque prédicateur, qui permettrait d’échapper à la règlementation, puisqu’elle dépasse leur sphère privée. La responsabilité conjointe ne présuppose pas nécessairement que chaque acteur ait accès aux données personnelles : la communauté organisant, coordonnant et encourageant la prédication par ses membres participe à la détermination de la finalité et des moyens du traitement.


Référé TGI Grenoble 04/07/18 – Transfert de données personnelles hors UE, mieux vaut ne pas se tromper de destinataire !


02/07/2018 – Vidéosurveillance – La surveillance constante des salariés ou des étudiants est exclue

Est excessif tout système qui revient à surveiller en permanence des salariés ou des étudiants, c’est-à-dire de filmer à la fois les accès à l’établissement, les lieux de circulation et les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles.

L’obligation d’information des personnes filmées peut être remplie par des mentions dans les conditions générales d’inscription, un affichage et la diffusion aux salariés (note d’information/contrat de travail).

Lorsque la finalité du traitement est de protéger des biens et des personnes (vols, agressions, dégradations) et éviter les débordements des étudiants, une durée de conservation adéquate serait d’un mois.


13/06/18 Cour de Cassation – Pas de condamnation pour Air France

Conformité : le logiciel de suivi de l’activité des pilotes est conforme à la LIL (hors quelques manquements mineurs signalés) : collecte loyale des données (information des personnes concernées de l’existence du traitement, de ses finalités, des destinataires et de leurs droits par le biais d’un mémo papier et sur l’intranet dédié), pas de détournement de la finalité du traitement (les données contenues dans ce logiciel ne sont pas croisées avec celles prises en compte pour le suivi de la carrière des pilotes).

Nature des données : Les informations concernant les arrêts maladie ne sont pas des données sensibles car le motif de l’arrêt n’est pas indiqué et il ne s’agit donc pas de données de santé.


28/06/2018 CEDH – Quand des condamnés au pénal il y a plus de 20 ans se voient refuser l’anonymat dans les médias » Le droit à l’oubli n’est pas absolu

Pour déterminer si le droit à l’oubli doit être mise en œuvre, il faut rechercher l’équilibre entre le respect de la vie privée et les libertés d’expression et d’information du public.


Conseil d’Etat 06/06/18 – Condamnation pour challenges.fr à 25K€

Base légale du traitement : Les cookies publicitaires même s’ils seraient nécessaires à la viabilité économique du site web nécessitent un consentement de l’internaute préalable à leur dépôt.

Obligation d’information : Il est essentiel d’informer l’internaute des cookies qui peuvent être déposés en précisant ceux qui sont obligatoires ou soumis à son consentement, ainsi que les conséquences d’une éventuelle opposition de sa part. La seule proposition à l’internaute de paramétrer son navigateur n’est pas un mode valable d’opposition.

Durée de conservation : Cookies / 13 mois

Obligation de coopérer avec la CNIL : il appartient à la société ayant fait l’objet d’une mise en demeure de la CNIL de lui démontrer qu’elle a fait le nécessaire pour remédier à ses manquements.


CJUE 05/06/18 – Responsabilité conjointe du traitement : Désactivation d’une page fan sur le réseau social Facebook

Responsabilité : Même si le Réseau social est responsable à titre principal, l’administrateur d’une page fan est responsable conjoint du traitement : Il apporte une contribution active et volontaire (action de paramétrage) à la collecte par le RS des données personnelles des visiteurs de sa page et bénéficie de statistiques en résultant, à des fins de gestion de la promotion de son activité (connaissance du profil des visiteurs qui apprécient la page fan ou utilisent ses applications, afin de pouvoir leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage…). Même si ces statistiques sont reçues par l’administrateur sous une forme anonymisée, le traitement lui-même ne l’est pas et il n’est en pratique pas nécessaire que l’internaute ait un compte sur le RS pour que ses données soient traitées.


25/05/2018- L’entrée en application du RGPD tant attendue…. et tant redoutée

La semaine d’entrée en application du nouveau règlement européen sur les données personnelles aura vu nombre d’entreprises se précipiter autour de cette date butoir pour assaillir d’e-mails leurs clients et contacts.

» Plusieurs constats : la majorité de ces e-mails visait demander un (nouveau) consentement aux personnes ; la majorité des personnes n’a pas lu ces mails reçus en pagaille et encore moins confirmé un consentement.

» Plusieurs réflexions : il semble que dans la plupart des cas, la base légale du traitement des données n’avait pas à être le consentement (rappelons qu’une entreprise peut sur la base d’un intérêt légitime adresser des offres à ses clients naturellement intéressés par ses produits et services) ; en adressant en masse cette demande les entreprises se sont elles-mêmes obligées à obtenir un consentement ; quand bien même un consentement était nécessaire, il est loin d’être certain qu’il le fallait réellement pour le 25 mai ; le résultat de cette précipitation est très certainement une perte massive des données d’entreprise et de la valeur qui l’accompagne.

La CNIL a annoncé qu’elle resterait assez souple dans le cadre de ses contrôles jusque fin 2018. Il est donc encore temps de poser sa réflexion juridique en amont et de vérifier au cas par cas quelles sont les obligations de l’entreprise et les démarches de mise en conformité à mettre en œuvre en fonction de sa situation.


07/05/18 CNIL– Condamnation pour Optical Center : 250K€

Contrôle en ligne puis sur place

Obligation de sécurité : Défaut lors des commandes en ligne sur son site web : accès possible à des centaines de factures de clients contenant des données personnelles (nom, prénom, adresse postale, données de santé et parfois date de naissance et numéros de sécurité sociale).

Sanction : 250K€ malgré la collaboration active d’Optical Center pour résoudre la faille, car : la restriction d’accès aux documents présents sur les espaces personnelles est une précaution d’usage essentielle ; la société connaissait les risques de sécurité informatique, ayant déjà été condamnée en 2015 (à 50K€).

Publication de la décision : car les données rendues accessibles étaient particulièrement sensibles et nombreuses (334.769 documents) et le nombre de clients touchés important.

 


TGI Paris 10/04/18 – Suppression de la fiche Google My Business d’un chirurgien dentiste sous astreinte ⇒ Mieux vaut répondre à une demande d’effacement


09/03/2018 Conseil d’Etat – Confirmation de la non destitution par la CNIL d’un Correspondant Informatique & libertés (CIL)

L’information des clients d’un établissement bancaire sur le risque financier qu’ils prennent en contractant un emprunt de relève pas des devoirs du CIL qui n’a donc pas manqué à ses obligations.


20/02/2018 – Référé Conseil d’Etat –Mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup »

Plusieurs syndicats étudiants demandaient la suspension d’un arrêté autorisant la mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup » considéré comme illégal. Après une mise en balance des intérêts en cause, le Conseil d’Etat a estimé que la suspension de « Parcoursup » engendrerait une atteinte à l’intérêt général (bon déroulement de la procédure de préinscription pour l’enseignement supérieur) excédant les inconvénients invoqués par les syndicats requérants vu notamment le caractère limité du traitement. La gravité et la condition d’urgence n’ont pas été retenues.


14/02/2018 TGI Paris – Atteinte à la vie privée et malveillance » 2K€ D&I, 2K€ art.700, suppression de la page web

Si les décisions de justice sont publiées en intégralité, les bases de données librement accessibles qui les reproduisent doivent les anonymiser.

Identifier sur une page web une personne condamnée (pour exercice illégal de la pharmacie, commercialisation de médicaments sans AMM, non-respect des règles de publicité sur les médicaments et fraude fiscale) en publiant les décisions de justice anonymisées, en mettant en avant des faits très anciens et sans alimenter le débat par des éléments nouveaux est une levée d’anonymat malveillante et répréhensible.


20/11/2017 CNIL – Mise en demeure contre Genesis Industries Limited

Mise en demeure de procéder dans un délai de 2 mois à la sécurisation de jouets connectés la poupée « My Friend Cayla » et le robot « I-QUE », qui répondent aux questions posées par les enfants, sont équipés d’un microphone et d’un haut-parleur et associés à une application mobile, de sorte que la société collecte de nombreuses informations personnelles sur les enfants et leur entourage (voix, contenu des conversations, informations renseignées dans l’application « My Friend Cayla App ).

Défaut de sécurité : toute personne située à 9 mètres des jouets avec un système de communication Bluetooth peut se connecter à la poupée, sans avoir à s’authentifier et ainsi entendre et enregistrer les paroles échangées entre l’enfant et le jouet ou toute conversation à proximité du jouet et également communiquer avec l’enfant.

Défaut d’information des utilisateurs des jouets : Alors que des informations personnelles sont traitées par la société, les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société ni informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne