Cette dernière avait envoyé des courriers de félicitations aux lauréats du baccalauréat 2019 du département de la Manche. De quoi alerter certains, qui avaient saisi la Commission.
« Les investigations menées [...] ont permis d’établir que les données personnelles des lycéens provenaient du fichier national « OCEAN » [...] communiquées par le rectorat de l’académie de Normandie en réponse à une demande faite par Mme Sonia KRIMI » précise la CNIL
Elle ajoute que ces informations dédiées à la gestion des examens et des concours n'ont pas vocation à être diffusées et utilisées de la sorte. « La formation restreinte a ainsi retenu un manquement à l’article 5(1.a) » du RGPD.
La sanction est par contre assez légère : deux rappels à l’ordre à l’encontre du rectorat de l’académie de Normandie et de Sonia Krimi, ainsi que la publication des décisions. Les 11 846 lycéens concernés (dont des mineurs) apprécieront.
Commentaires (30)
#1
Ouuhhhh, la cnil elle a haussé un sourcil
Les utilisations des fichiers en dehors des périmètres prévus, c’est malheureusement monnaie courante, et rarement sanctionné, on se souvient encore fraichement du fichier des contraventions des automobilistes utilisé pour tracer ceux qui se prenaient une amende en rapport avec le confinement, cette histoire n’a été suivi d’absolument d’aucune réaction de la cnil et d’aucune conséquence hormis la nullité des amendes de recidives
#2
De souvenir Laurent Wauquiez avait fait la même dans la région Auvergne-Rhône-Alpes.
Mais ils n’apprendront donc jamais!
#2.1
C’est ce qu’il me semble aussi.
#2.2
https://www.francebleu.fr/infos/education/la-cnil-clot-le-dossier-du-sms-de-wauquiez-aux-lyceens-de-la-region-et-appelle-a-la-vigilance-pour-1562680835
Une CNIL bien clémente. Peut-être pour ne pas tirer sur un homme déjà un terre
#3
Les droits de 11 846 personnes violés, en “condamnation” : 2 rappels à l’ordre avec publication des décisions…c’est chaud.
#4
Cette blague quoi…
En plus le rectorat envoie plus d’info que ce qu’elle demande “par manque de temps”, c’est vrais que ça prend 3 jours pour utiliser le tri automatique dans un fichier excel…
#5
Je lis justement un truc sur le respect du RGPD par.. Le Figaro !
Pour ceux intéressés :
https://www.pixeldetracking.com/fr/le-figaro-tracking-invasif-medias-francais
#5.1
Le RGPD n’est qu’une vaste blague !
Lors de ma dernière commande chez K..ii, j’ai reçu un email d’A..s V…..és me demandant de noter le vendeur et les articles achetés. N’ayant pas donné mon consentement pour que des informations personnelles soient transmises à un tiers, j’ai râlé, RGPD et article 226-18-1 du code pénal à l’appui, puisque j’avais quelques années auparavant engagé une plainte auprès de la CNIL contre le vendeur. Le vendeur et son parasite m’ont envoyé bouler : intérêt légitime du vendeur, ce que la CNIL, contactée à ce sujet, a confirmé, à savoir l’intérêt légitime d’une société commerciale est supérieur au consentement du particulier. Mon avis n’a pas été publié au motif : incitation à action en justice. On ne sait jamais, ça pourrait donner des idées à d’autres et à la longue, le pot de terre pourrait empêcher le pot de fer de faire ce qu’il veut.
Maintenant, j’attaque en plus, quand c’est possible, sous l’angle de la vie privée et de l’article 8 de la convention européenne des droits de l’homme. Je vais voir ce que ça donne avec EDF.
#6
Des milliers de nouveaux électeurs potentiels qui n’avaient jamais entendu parler d’elle connaissent maintenant son nom et sa fonction, en échange d’un simple rappel de la CNIL. Avec de telles sanctions, on attend juste le prochain qui fera la même chose.
#7
Perso rien ne m’étonne de la part des politiques.
Par contre que le rectorat soit à ce point à la botte du député local, ça me choque.
#8
#9
Je trouve etonnant finalement avec quelle facilité les données sont transmises, utilisées, etc, alors qu’on nous bassine à longueur de temps avec la confidentialité des données etc…
Bientôt un message de félicitations à tous ceux qui ont réalisé un test COVID ?
#10
Je fais pareil, avec le même site (AV). Quand on me prend pour un con, je joue le jeu : mon avis contient uniquement les articles du RGPD et de la loi I&L, auquel j’associe évidemment la note la plus basse possible. N’étant pas hors des clous des CGU de ce site (pas d’insulte ou de diffamation, etc), il est généralement publié. Si tout le monde faisait cela, la note globale baisserait franchement, et les vrais avis seraient noyés dans ce flot de commentaires cnilesques, cela pourrait leur donner matière à réfléchir.
La pratique est très courante (“racontez votre expérience”, ben j’ai juste fait une commande en ligne…), donc même si ça reste interne au site (résa d’hôtels, fnac,…), la finalité du recueil de l’e-mail est la gestion de la commande, pas d’être bombardé tous les 3 jours pour donner mon avis.
Je note que les sites e-commerce font le même partage de l’e-mail pour le suivi des commandes : tous les transporteurs envoient les étapes de livraison sur l’e-mail qu’on ne leur a jamais fourni. A minima le site d’e-commerce pourrait donner un alias, qu’il redirigerait vers notre adresse.
Ceci dit je te te suis pas quand tu dis que “le RGPD est une vaste blague” : ce n’est pas parce que certains ne le respectent pas qu’il en devient mauvais. Sinon on peut aussi dire “le Code de la Route c’est une vraie fumisterie” parce que certains se prennent des amendes pour excès de vitesse.
#11
Le RGPD est une vaste blague parce que l’intérêt légitime de la société commerciale est supérieur au consentement du particulier.
le problème avec AV et les autres parasites du même type, c’est qu’ils parasitent de nombreux sites marchands et donc, ils constituent de fait des profils des acheteurs et que les acheteurs ne peuvent pas s’y opposer: l’intérêt légitime de la société commerciale est supérieur au consentement du particulier
#12
Non mais LOL
A ce niveau, autant le faire péter, il ne sert strictement à rien : si l’intérêt légitime de n’importe quelle société co. est au-dessus de la protection des données, c’est que ce truc ne protège absolument rien…
#13
JE pense que c’est exactement la “faille” par laquelle ce genre de société construisent les profils et prennent de la valeur, en bourse ou pour une revente…
(Mais bon, on appelle ça une “licorne” , et c’est ce qui est recherché par ts les politiques, alors…)
#14
Tu cites lesquels pour tes avis?
)
(Ca m’évitera de chercher
#14.1
Je suis quand même curieux de lire le courrier de la CNIL qui dit que l’intérêt du vendeur est supérieur à la loi…
Article 5 du RGPD pour la finalité (§ 1.b)
Article 34 de la loi I&L pour la transmission des données sans mon accord
Ma prose n’est pas d’une grande qualité : si tu veux un truc chiadé pour faire tes demandes, tu peux regarder celle d’Aéris, de bien meilleure qualité
#15
LREM: faites ce que je dis, pas ce que je fais
#16
C’est dommage de punir si sévèrement une personne qui voulait juste « être sympa » et féliciter les étudiants.
Moi j’aurais trouvé ça cool.
Par contre les appels de plateforme téléphonique, les Spam, la publicité ciblée, etc… on ne fait strictement rien
Donc ça ne doit pas servir à grand chose la CNIL.
Bouh j’ai peur d’avoir un mot dans mon carnet.
#17
C’est hallucinant ! Jamais je n’ai écrit ça !
Voilà un copier-coller anonymisé du courrier de la CNIL :
Bonjour Monsieur XXXXXXX,
Nous vous remercions de nous avoir contactés.
Je vous confirme que le RGPD ne prévoit pas que tous les traitements soient soumis au seul consentement de la personne concernée.
D’autres bases légales sont aussi prévues, toutefois cela n’enlève pas que vous puissiez avoir votre mot à dire ou conserver une maîtrise sur la manière dont vos données sont traitées. Simplement ces traitements peuvent ne pas nécessiter au préalable un consentement de votre part, sans préjuger de votre situation, cela pourrait être par exemple le cas dans le cadre d’un traitement nécessaire à une relation contractuelle.
C’est la raison pour laquelle je vous invite, dans un premier temps, à contacter ces sociétés sur les traitements réalisés dans le cadre du fonctionnement du service “Avis Vérifiés”.
Ces sociétés diposent d’un délai maximal d’un mois pour vous répondre.
Je vous invite à conserver une copie de vos demandes, et de leur réponse le cas échéant, pour les transmettre à nos services dans le cas où, à l’issue de ce délai, les réponses seraient insatisfaisantes.
Cordialement,
YYYYYY ZZZZZ
Votre conseiller
A la relecture, je me rends compte que j’ai un peu interprété la réponse de la CNIL.
Ah oui, bien mieux que mes courriers. Mais j’ajoute une référence à l’article 226-18-1 du code pénal. Quand je pense qu’un spammeur m’a déjà écrit “mais ce n’est qu’un mail”. Si j’avais connu cet article à l’époque, je lui aurai répondu “oui, mais un mail qui vaut 5 ans de prison et 300k€ d’amende”.
#18
Merci
#19
T’as un peu interprété, mais il n’en reste pas moi un fonds de vérité :
J’ai du mal à voir ce qui autorise dans le RGPD de vendre tes infos personnelles à AV quand tu achètes un truc…
#20
dsl, j’aurais dû aussi copier-coller un des emails échangés avec Avis Vérifiés (pas besoin de l’anonymiser, il l’est déjà…) :
–8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<–
Bonjour,
Comme expliqué précédemment, les demandes d’avis reposent sur l’intérêt légitime des sociétés à améliorer leurs services.
Le consentement n’est donc pas nécessaire.
Vos données ont bien été supprimées.
Cordialement,
L’équipe Compliance
Avis Vérifiés
–8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<—-8<–
A noter qu’Avis Vérifiés m’informe avoir supprimé mes données sans que j’ai demandé à le faire.
J’ai bien entendu transmis tous les échanges de mails à la CNIL quand je lui ai demandé son avis.
#21
S’ils suppriment d’eux-mêmes, c’est que la légitimité n’es pas forcément si limpide que ca!
#22
Le seule chose que je comprends de ce courrier, c’est juste un rappel de la procédure à respecter pour faire une plainte à la CNIL, à savoir effectuer une demande auprès de l’organisme (attention à s’adresser à la bonne personne, pour cela il faut bien éplucher les mentions légales - quand elles existent, un message envoyé à serviceclient@ finira à la poubelle), et demander une réponse sous un mois. Rien d’autre. Envoyer un mail à la CNIL ne suffira pas, encore moins les contacter sur les réseaux sociaux (ils ont juste des comptes institutionnels, sans suivi des dossiers).
Si sous ce délai (et pas avant), on n’a pas eu de réponse, ou qu’elle n’est pas satisfaisante, on a le droit de déposer une plainte à la CNIL, en leur mettant toutes les pièces justificatives (copie des mails, screenshots, tout est bon). Sinon le dossier ne sera pas instruit. Bref, rien ne neuf, ça fait des années que la procédure existe, et elle n’a pas changé avec le RGPD (on a juste de la matière supplémentaire lorsqu’on fait la demande initiale, en citant les articles du RGPD).
Perso j’ai fait ma 9e demande hier soir, pour les précédentes j’ai toujours eu une réponse quand le dossier respecte ce que la CNIL demande
Quant à AV qui estime que le consentement n’est pas nécessaire, c’est leur avis, tout comme la plupart des sites qui crient sur tous les toits qu’ils respectent nos données personnelles (“leur respect est notre priorité”). Et comme je le disais, s’ils veulent jouer aux cons, on peut l’être plus qu’eux, en salopant leurs bases de données d’avis bidons. Avec un volume conséquent d’avis factices, leur site ne sert plus à rien. À eux d’en prendre conscience et de s’adapter s’ils le jugent nécessaire.
#22.1
Tu comprends ce que tu veux, et d’un de tes posts précédents, il est évident qu’au mieux tu lis en diagonale.
Tu es à ta 9e plainte à la CNIL ? félicitations ! J’en ai tellement à mon actif que je ne les compte plus.
#23
J’espère qu’il y’aura des sanctions en interne au rectorat !
C’est totalement hallucinant :
1] de répondre à une sollicitation d’un anonyme (dsl pour la député mais elle n’a aucun droit sur le rectorat)
2] d’avoir un fichier excel prêt à être diffuser : les données sensibles / personnelles peuvent (avec accord) être stocké, en revanche extraire un excel devrait être sécurisé et il est strictement interdit de sauvegarder un tel fichier.
Franchement il faut virer la personne qui a envoyé le mail, sanctionner sa hiérarchie & le référent RGPD. Tout le service devrait être former au b-à-ba de la sécurité et du respect du RGPD.
#24
Visiblement on est deux
#25
Deux quoi ? A lire en diagonale ? Non.
Je ne vais me fatiguer à écrire, puisque c’est déjà écrit et que tu ne lis pas…