Collectivités territoriales : Contrôles et sanctions de la CNIL

La Commission nationale informatique et libertés (Cnil) souligne que deux axes structurent ses actions : l’accompagnement, via un plan d’action dédié aux collectivités territoriales, et la réalisation de contrôles pouvant, en cas de manquements graves, être suivis de sanctions. Comme toute personne morale manipulant les données personnelles, les collectivités peuvent faire l’objet de lourdes sanctions….[lire la suite]

2 Applications mobiles mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire

La CNIL a contrôlé les traitements de données mis en œuvre par les sociétés FIDZUP et TEEMO qui ont recours à des technologies permettant de collecter des données personnelles via les smartphones, et de réaliser des campagnes publicitaires sur les mobiles.

Ces sociétés ont recours à des outils techniques dénommés « SDK ». Ces outils sont  intégrés dans le code d’applications mobiles de leurs partenaires. Ils leur permettent de collecter les données des utilisateurs des smartphones même lorsque ces applications ne sont pas en fonctionnement.

S’agissant de la société TEEMO, ce « SDK » permet de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins). Ils permettent d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

La société FIDZUP, quant à elle, installe un « SDK » au sein d’applications mobiles partenaires qui collecte les identifiants publicitaires mobiles et l’adresse MAC du smartphone. En parallèle, la société installe dans les points de vente partenaires des dispositifs « FIDBOX » permettant de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Les données ainsi collectées sont croisées et leur traitement permet à la société d’effectuer de la prospection publicitaire géolocalisée sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société FIDZUP.

Un manquement à l’obligation de recueil du consentement

Les sociétés TEEMO et FIDZUP indiquent traiter ces données avec le consentement des personnes concernées.

Toutefois, les vérifications de la CNIL ont conduit à relever que le consentement n’est pas recueilli comme la loi l’exige.

En effet, tout d’abord, concernant la société TEEMO, les personnes ne sont pas informées, lors du téléchargement des applications mobiles partenaires, qu’un « SDK » permettant de collecter leurs données, et notamment leurs données de localisation, y est intégré.

S’agissant de la société FIDZUP, il ressort des contrôles effectués sur plusieurs applications mobiles qu’au moment de l’installation de l’application, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire du traitement mis en œuvre, ni de l’identité du responsable de ce traitement. En outre, l’information fournie aux personnes dans les conditions générales d’utilisation des applications ou sur des affiches en magasins intervient après la collecte et le traitement des données, alors que le consentement suppose une information préalable.

Par ailleurs, concernant ces deux sociétés, il n’est pas possible, pour l’utilisateur, de télécharger l’application mobile sans le « SDK ». Les deux sont indissociables : l’utilisation des applications a pour conséquence automatique la transmission de données aux sociétés.

Enfin, la CNIL a constaté que s’il est effectivement demandé aux personnes de consentir au traitement de leurs données de géolocalisation lors de l’installation des applications mobiles, cette action ne concerne que l’utilisation des données par cette application. Elle ne saurait donc valoir consentement à la collecte des données à des fins publicitaires via les « SDK ».

Au regard de ce qui précède, les données peuvent être regardées comme traitées à l’insu des utilisateurs, sans le consentement préalable requis par la loi du 6 janvier 1978 et, désormais, par le Règlement général sur la protection des données (RGPD), qui conforte d’ailleurs les exigences applicables au consentement…[lire la suite]

RGPD : Le nombre de plaintes auprès de la Cnil explose

Les internautes n’ont pas attendu longtemps pour s’emparer du RGPD ! Moins de deux mois après l’entrée en vigueur du nouveau Règlement européen sur la protection des données, la Cnil a enregistré près de 1 000 plaintes soit un quasi doublement par rapport à la même période l’année dernière.

« Manifestement il y a un pic sans doute dû à une sensibilisation plus grande » du public explique la porte-parole de la Cnil dans un entretien accordé à l’Agence France Presse. Il est encore trop tôt pour connaître précisément les motifs de ces plaintes mais il semblerait qu’elles concernent « principalement internet et le commerce »...[lire la suite]

RGPD : Les associations aussi concernées… Sanction de 75 000 euros pour une atteinte à la sécurité des données de demandeurs de logements

L’association ADEF a pour mission la mise à disposition de logements dans des résidences et foyers notamment pour des étudiants, des familles monoparentales et des travailleurs migrants.

En juin 2017, la CNIL a été informée de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association.

Un contrôle en ligne a été réalisé le 15 juin 2017. Au cours de ce contrôle, la CNIL a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF.

Le même jour, la CNIL a alerté l’association de cette violation de données à caractère personnel et lui a demandé d’y remédier. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de l’association. Il a été constaté que les données étaient toujours accessibles, alors que l’association indiquait avoir demandé à la société ayant développé son site web d’intervenir.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 75 000 euros, estimant que l’association avait manqué à son obligation de préserver la sécurité et la  confidentialité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés. Elle a relevé que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site. Elle a notamment précisé que l’association aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL (exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie par la personne telle que « carte-identité », « cni » ou « avis imposition »). De plus, la société aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs du site internet afin de protéger les documents téléversés par les demandeurs….[lire la suite]

Réaction de notre Expert Denis JACOPINI : Une chance pour cette association d’avoir été contrôlée avant la mise en application du RGPD. En effet, depuis le 25 mai 2018 les amendes peuvent désormais être portées jusqu’à 20 millions d’euros ou 4% du CA mondial consolidé.

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

 

---

Réagissez à cet article

---

 

Alerte à la fausse « Mise en conformité RGPD »

Ces messages peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et Libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique.

La CNIL n’est, bien entendu, pas à l’origine de ces messages.

N’y répondez pas ! En cas de doute, vous pouvez contacter la vraie CNIL au 01 53 73 22 22. 

Exemple de courrier RGPD frauduleux

• Ne répondez pas à cette sollicitation ;
• En cas de doute, contactez la CNIL au 01 53 73 22 22 ;
• Signalez cette arnaque au 0 811 02 02 17 ou sur le site www.internet-signalement.gouv.fr ;
• Consulter le site de l’agence nationale de sécurité des systèmes d’information (ANSSI) www.ssi.gouv.fr.
• Consulter le site du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques CERT-FR www.cert.ssi.gouv.fr ;
• Informez votre hiérarchie ;
• Déposez plainte si vous le souhaitez auprès des services de police ou de gendarmerie ou faite une déclaration directement sur le site de pré-plainte en ligne https://www.pre-plainte-en-ligne.gouv.fr ;
• Restez vigilant.

• MISE EN CONFORMITÉ RGPD / CNIL
  • AUDIT RGPD ET CARTOGRAPHIE de vos traitements
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Réagissez à cet article

La CNIL remet en cause le fonctionnement de la plate-forme APB

C’est un nouveau coup porté à la plate-forme Admission post-bac (APB), qui permet de faire ses vœux d’orientation dans l’enseignement supérieur. Dans une décision du 30 août rendue publique jeudi 28 septembre, la Commission nationale de l’informatique et des libertés (CNIL) met en demeure le ministère de l’enseignement supérieur de « cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence » dans l’utilisation de la plate-forme.

Cette décision, qui « n’est pas une sanction », précise la CNIL, oblige cependant le ministère à se mettre en conformité avec la loi « dans un délai de trois mois ». Elle intervient suite aux polémiques qui ont émaillé la session 2017 d’APB. Notamment autour des milliers de candidats n’ayant pas reçu de proposition lors des trois phases de la procédure. Mais surtout en raison de l’utilisation du tirage au sort pour départager les candidats trop nombreux à l’entrée des filières universitaires en tension. Tirage au sort régulièrement remis en cause devant les tribunaux administratifs, qui estiment qu’il ne repose sur aucune base légale…[lire la suite]

Besoin d’un formateur RGPD ? Besoin de former votre futur DPO ? Contactez-nous

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La CNIL sanctionne un dentiste pour non respect de la Loi Informatique et Libertés

En novembre 2015, la CNIL a reçu une plainte d’un patient ne parvenant pas à accéder à son dossier médical détenu par son ancien dentiste.

Les services de la CNIL ont plusieurs fois interrogé le cabinet dentaire au sujet de cette demande.

En l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le cabinet  dentaire de faire droit à la demande d’accès du patient et de coopérer avec les services de la Commission.

Faute de réponse à cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre du responsable de traitement.

Après examen du dossier, la formation restreinte de la CNIL a considéré :

• qu’il y avait bien un manquement au droit d’accès du patient prévu par la loi ;
• que les obligations déontologiques auxquelles sont soumises les professions médicales, notamment celles liées au secret médical, ne pouvaient justifier au cas d’espèce une absence de communication du dossier médical au plaignant.
• que le cabinet dentaire avait fait preuve d’un défaut manifeste de prise en compte des questions Informatique et Libertés et avait méconnu son obligation de coopération avec la CNIL résultant de la loi.

Compte tenu de l’ensemble de ces circonstances propres au cas d’espèce dont elle était saisie, la formation restreinte a donc décidé de prononcer une sanction pécuniaire de 10 000 euros à l’encontre du cabinet dentaire.

En rendant publique sa décision, elle a souhaité rappeler aux patients leurs droits et aux professionnels de santé leurs obligations.

Chaque année, la CNIL reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical. Près de la moitié des demandes d’accès concernent des médecins libéraux.

Dans ce contexte, il est nécessaire de souligner que chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné (article 43).

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois…[lire la suite]

A Lire aussi :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 dessins

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article