La mise en demeure n’est pas une sanction. Nous n’en sommes donc pas là.
Le
10/02/2022 à
14h
32
Bah en fait, ça n’est pas une surprise. Il est évident pour n’importe quel juriste de bonne foi qu’une disposition légale (les lois américaines) prévaut sur des dispositions contractuelles. Et donc que si la CJUE a invalidé le Privacy Shield parce que la loi américaine est trop intrusive, alors, CCT ou pas, les transferts sont impossibles.
La CNIL ne fait que confirmer ce que tout le monde avait vaguement compris, sauf ceux qui ne voulaient pas comprendre.
Je n’ai aucun soucis avec le raisonnement juridique. Je le comprends parfaitement. Il s’inscrit dans la droite ligne de “Schrems II” et des “Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE” de l’EDPB.
Mais en publiant un simple communiqué via un article sur son site, la CNIL s’écarte de la nécessité de fournir un raisonnement juridique argumenté. Ainsi, et comme on le voit depuis ce matin, des raccourcis sont pris et de nombreux titres de presse et/ou des professionnels du secteur considèrant que “l’utilisation de GOOGLE ANALYTICS” est illégale.
Sans même se demander s’il n’est pas possible, à ce jour, d’utiliser GOOGLE ANALYTICS sans que cela ne suppose le traitement de données personnelles. Si tel était le cas, il n’y aurait plus d’enjeux de transferts de données personnelles hors UE …
En ne fournissant pas un argumentaire détaillé de sa prise de position (ce qui ressortirait forcément d’une délibération argumentée …), la CNIL fausse à mon sens -peut-être de manière délibérée- son discours. En conséquence de quoi, de nombreux raccourcis sont pris par les observateurs en tous genres.
Le
10/02/2022 à
11h
51
Suis-je le seul à trouver scandaleux cette nouvelle pratique de la CNIL consistant à publier des articles aux conséquences organisationnelles très importantes pour les entités privées et publiques françaises, sans prendre le soin de publier le contenu exact des argumentaires développés ?
En l’espèce, la mise en demeure n’est pas publique. Or, elle permettrait certainement d’identifier précisément les arguments développés par la Présidente de l’autorité.
Le communiqué de la CNIL est trop vague et imprécis pour permettre une réelle analyse de fond.
Une pratique similaire avait été opérée à l’occasion de la sanction par la CNIL “d’un responsable de traitement et de son sous-traitant sur des enjeux de “credential stuffing”” : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant Tout en avertissant les responsables de traitement et sous-traitants de la nécessité de déployer des mesures contre les attaques de type “credential stuffing”, il était impossible de comprendre précisément les motifs de la décision (non publique) ayant conduit à une sanction de la part de la formation restreinte de la CNIL …
Le communiqué de presse de l’IAB est une escroquerie sans nom : “Nous nous félicitons de voir que cette dernière ne comporte aucune interdiction du TCF et considère que les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement.”
Ils minimisent grandement la portée réelle de la décision de l’autorité Belge qui remet à mal l’existence même du TCF dans sa version actuelle (2.0) sur de nombreux points : bases légales, information des personnes et compréhension des finalités, mesures de sécurité et fiabilité du “TC string”, etc.
(reply:1899412arth_Judge) Merci du conseil ! Effectivement, elle semble très complète au niveau des documents (une fois loggé) : bilans, actes, etc.
Sur ma propre structure, j’observe cependant une erreur sur la fiche entreprise, avec une “Date de clôture” d’exercice fiscal erronée (ou plus précisément, non actualisée de longue date). Quelques précautions s’imposent sur la fiabilité de certains champs
Le
16/09/2021 à
10h
36
ColinMaudry a dit:
Pour information, l’État propose un super annuaire des entreprises, collectivités et associations, rassemblant les données de nombreuses sources officielles : https://annuaire-entreprises.data.gouv.fr/
“Super annuaire”, c’est un peu prétentieux
Même si j’apprécie largement le travail que vous avez initié et réalisé ! J’utilise personnellement https://annuaire-entreprises.data.gouv.fr/ autant que possible dans le cadre de mon activité professionnelle.
Mais, sauf erreur de ma part, certains annuaire privés (Figaro entreprise par exemple) vont encore plus loin, ce qui est regrettable. A titre d’exemple, ces annuaires sont en mesure de proposer certains actes, comme les statuts constitutifs ou encore les bilans déposés par les entreprises. A quand un alignement ?
Le
16/09/2021 à
10h
30
A la lecture de la délibération, on identifie parfaitement à quel point le Président de cette société, seul salarié, a été totalement dépassé par les obligations réglementaires lui incombant en matière de protection des données personnelles. Rien de surprenant au regard de l’inflation permanente et de la complexité accrue de nos réglementations.
Cette délibération est assez révélatrice des maux de notre droit.
Et dans le même temps, son absence de mise en conformité est la solution la plus “rentable financièrement”. Il lui aurait été quasi-impossible de trouver un conseil fiable l’accompagnant dans sa mise en conformité pour moins de 3 000€ …
Je n’aime pas forcément comme toi la mise en scène d’Elise Lucet et la tournure qu’elle veut toujours faire prendre pendant les interviews. Par exemple, avec Cédric O, elle voulait absolument lui faire dire que les sanctions sont ridicules pour les GAFAM et que la loi ne sert à rien. J’ai trouvé la réponse du secrétaire d’état très bonne, la loi est là, il ne faut pas hésiter à saisir les autorités compétentes pour la faire respecter.
C’est (à titre personnel) très intéressant d’avoir la perception d’un pharmacien. Je me demandais ce qu’avaient pu penser les gens de cette intervention.
En tant que personne impliquée dans le domaine de la protection des données personnelles, j’ai pour ma part trouvé les réponses formulées par le Secrétaire d’État, au mieux, très légères, au pire, mensongères.
Sur l’exemple que tu cites (i.e. la justification par Cédric O des 50 millions d’euros prononcées par la CNIL à l’encontre de Google en date du 21 janvier 2019), le Secrétaire d’État invoque une “infraction minime” qui justifierait le prononcé d’une sanction proportionnellement faible pour Google. Or, c’est une approximation incroyable, dans la mesure où la commission restreinte de la CNIL sanctionna Google pour des manquements à (i) ses obligations de transparence et d’information, mais également pour (ii) une absence de récolte valable du consentement des personnes pour les traitements de personnalisation de la publicité.
Autrement dit, ce sont des manquements aux obligations des articles 6, 7, 12 et 13 du RGPD. Ces articles ont une importance toute particulière dans les obligations fixées par le RGPD (information & bases légales). Ils n’ont rien de sujets annexes et minimes : ce sont des principes fondamentaux pour le respect de la vie privée des individus. Leur non-respect justifie à ce titre (à bien meilleur titre que le non-respect de nombreux autres articles) des sanctions efficaces et dissuasives …
Dans un tout autre domaine (le cas Doctissimo), Cédric O affirma que l’entreprise serait “sans le moindre doute sanctionnée par la CNIL en cas d’illégalité”. Là encore, c’est un discours totalement trompeur, bien éloigné des réalités. La CNIL est une autorité qui sanctionne assez peu, en volume (Cf son rapport 2020), comparé à certains de ses homologues européens (l’AEPD en Espagne par exemple). D’une part car elle n’en a pas les moyens humains (225 agents), et d’autre part car ses procédures de sanctions sont parfois très longues (Cf la récente délibération prononcée à l’égard de Carrefour à titre d’exemple).
En espérant avoir pu vous éclairer sur le contenu de certains propos de notre Secrétaire d’Etat …
Le
18/05/2021 à
13h
00
dematbreizh a dit:
Tu aurais du mieux lire l’article: “Le droit d’opposition ne s’exerce pas auprès d’IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires”
L’ami, je ne vois pas le rapport avec mon explication précédente …
Le
18/05/2021 à
10h
04
Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.
Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.
Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.
Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.
Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme avec les lignes directrices sur la transparence au sens du règlement (UE) 2016⁄679 (WP260 rev.0) du 11 avril 2018, de l’EDPB.
C’est pire que ça, Numéricâble avait fait chier un abonné comme ça il y a quelques années lors d’enquête judiciaire car quand leur soft n’avait pas la bonne MAC, ça mettait la sienne par défaut.
Le mec se retrouve convoqué pour de sale affaire alors qu’il n’avait rien fait à cause de cette “erreur”.
Numéricable s’était pris un avertissement de la CNIL pour cette affaire me semble t-il ?
Le RGPD est une loi européenne, je vois mal comment la contourner avec une loi française.
Le RGPD est un règlement, construit à l’issue d’une phase de trilogue : les compromis y sont nombreux. Et dans le cadre de ces compromis, le RGPD permet aux Etats membre de l’UE de prévoir des règles nationales spécifiques dans de nombreux domaines. C’est ce que l’on appelle les “marges de manœuvre”.
Petit exemple concret avec l’article 9 du RGPD en matière de données biométriques (qui sont ici au centre de l’attention dans le cadre d’un dispositif de reconnaissance facile) :
Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
Le
30/10/2019 à
15h
24
Nul doute qu’une proposition de loi sur le sujet devrait émerger à l’Assemblée nationale prochainement.
J’ai du mal à voir l’intérêt pédagogique de la reconnaissance faciale. Qq1 pour m’aider ? ^^
Contrairement à ce que j’ai pu lire dans les précédents commentaires, “l’intérêt pédagogique” fait référence au fait que les expérimentations de contrôle des accès par reconnaissance facile mis en oeuvre sur les 2 lycées s’accompagnaient de “projets pédagogiques” pour les élèves des classes concernées.
Autrement dit, les classes auxquelles le projet était proposé devaient, en même temps que l’expérimentation, travailler avec leurs professeurs sur l’étude technique du dispositif de reconnaissance facile. Les classes concernaient suivent un cursus en lien avec ce type de sujet.
A chacun de considérer si cet “argument pédagogique” est sincère ou non. Mais il avait le mérite d’exister.
Perso je l’interprète comme ça: (…) on doit en revanche informer l’internaute de l’existence de ces cookies. (but selon la CJUE “protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel” )
L’interprétation me semble extensive. Si la CJUE avait voulu aller dans ce sens, elle aurait clairement fait ressortir cet élément de son arrêt (et l’aurait intégré explicitement dans son communiqué de presse).
J’entends que la question préjudicielle à laquelle la CJUE répond ne précise pas le périmètre de l’information dont il est question : Quelles sont les informations que le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète voulue par l’article 5, paragraphe 3, de la directive [2002⁄58] ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?
Mais dans son argumentaire, la CJUE fait expressement référence à l’information devant être fournie en amont de “l’accord” donné par l’utilisateur (Cf à cet égard les points 72 à 75 de l’arrêt). En ce sens, la CJUE ne me semble pas se prononcer sur l’information qui devrait être fournie dans le cas des exceptions prévus par la Directive “e-privacy” permettant l’utilisation et le dépôt de cookies sans consentement.
Le
17/10/2019 à
07h
22
Lesgalapagos a écrit :
On ne peut, hélas, se limité à une lecture du texte du RGPD. Il convient aussi de suivre les décisions de la CEDJ, une décision récente concerne bien l’ensembles des cookies qui nécessiteraient un accord préalable.
L’affaire C-673⁄17 à laquelle vous faîtes référence ne pose pas un tel principe.
Elle confirme la nécessité d’obtenir un consentement préalable au dépôt de cookies, conformément à la Directive “e-privacy”. Elle ne remet pas en question les exceptions de cette même Directive, qui permettent l’utilisation et le dépôt de cookies sans consentement lorsque ces derniers :
visent exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ; ou
sont strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Autrement dit, les cookies “techniques” ne nécessitent pas de consentement préalable. Et heureusement " />
Une chose est certaine, si l’outil “Ad.report” cité dans l’article est fiable, le site du Figaro ne respecte toujours pas les durées de validité du consentement en matière de cookies (13 mois maximum selon les délibérations de 2013 et de 2019 de la CNIL).
On observe que de nombreux cookies disposent d’une durée de vie de 2 ans.
19 commentaires
Pour la CNIL aussi, les transferts internationaux de Google Analytics sont illégaux
10/02/2022
Le 11/02/2022 à 11h 35
La mise en demeure n’est pas une sanction. Nous n’en sommes donc pas là.
Le 10/02/2022 à 14h 32
Je n’ai aucun soucis avec le raisonnement juridique. Je le comprends parfaitement. Il s’inscrit dans la droite ligne de “Schrems II” et des “Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE” de l’EDPB.
Mais en publiant un simple communiqué via un article sur son site, la CNIL s’écarte de la nécessité de fournir un raisonnement juridique argumenté. Ainsi, et comme on le voit depuis ce matin, des raccourcis sont pris et de nombreux titres de presse et/ou des professionnels du secteur considèrant que “l’utilisation de GOOGLE ANALYTICS” est illégale.
Sans même se demander s’il n’est pas possible, à ce jour, d’utiliser GOOGLE ANALYTICS sans que cela ne suppose le traitement de données personnelles. Si tel était le cas, il n’y aurait plus d’enjeux de transferts de données personnelles hors UE …
Cette question revient d’ailleurs, pour partie, à se demander si GOOGLE ANALYTICS pourrait remplir les critères de l’exemption de consentement tels que prévus par les points 50 à 52 de la Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »)
En ne fournissant pas un argumentaire détaillé de sa prise de position (ce qui ressortirait forcément d’une délibération argumentée …), la CNIL fausse à mon sens -peut-être de manière délibérée- son discours. En conséquence de quoi, de nombreux raccourcis sont pris par les observateurs en tous genres.
Le 10/02/2022 à 11h 51
Suis-je le seul à trouver scandaleux cette nouvelle pratique de la CNIL consistant à publier des articles aux conséquences organisationnelles très importantes pour les entités privées et publiques françaises, sans prendre le soin de publier le contenu exact des argumentaires développés ?
En l’espèce, la mise en demeure n’est pas publique. Or, elle permettrait certainement d’identifier précisément les arguments développés par la Présidente de l’autorité.
Le communiqué de la CNIL est trop vague et imprécis pour permettre une réelle analyse de fond.
Une pratique similaire avait été opérée à l’occasion de la sanction par la CNIL “d’un responsable de traitement et de son sous-traitant sur des enjeux de “credential stuffing”” : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant
Tout en avertissant les responsables de traitement et sous-traitants de la nécessité de déployer des mesures contre les attaques de type “credential stuffing”, il était impossible de comprendre précisément les motifs de la décision (non publique) ayant conduit à une sanction de la part de la formation restreinte de la CNIL …
Le cadre RGPD imaginé par les géants de la publicité ne respecte pas le RGPD
02/02/2022
Le 03/02/2022 à 13h 36
Le communiqué de presse de l’IAB est une escroquerie sans nom :
“Nous nous félicitons de voir que cette dernière ne comporte aucune interdiction du TCF et considère que les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement.”
Ils minimisent grandement la portée réelle de la décision de l’autorité Belge qui remet à mal l’existence même du TCF dans sa version actuelle (2.0) sur de nombreux points : bases légales, information des personnes et compréhension des finalités, mesures de sécurité et fiabilité du “TC string”, etc.
La CNIL inflige 3 000 euros d’amende à l’AnnuaireFrancais.fr
16/09/2021
Le 16/09/2021 à 11h 01
Sur ma propre structure, j’observe cependant une erreur sur la fiche entreprise, avec une “Date de clôture” d’exercice fiscal erronée (ou plus précisément, non actualisée de longue date). Quelques précautions s’imposent sur la fiabilité de certains champs
Le 16/09/2021 à 10h 36
“Super annuaire”, c’est un peu prétentieux
Même si j’apprécie largement le travail que vous avez initié et réalisé ! J’utilise personnellement https://annuaire-entreprises.data.gouv.fr/ autant que possible dans le cadre de mon activité professionnelle.
Mais, sauf erreur de ma part, certains annuaire privés (Figaro entreprise par exemple) vont encore plus loin, ce qui est regrettable. A titre d’exemple, ces annuaires sont en mesure de proposer certains actes, comme les statuts constitutifs ou encore les bilans déposés par les entreprises. A quand un alignement ?
Le 16/09/2021 à 10h 30
A la lecture de la délibération, on identifie parfaitement à quel point le Président de cette société, seul salarié, a été totalement dépassé par les obligations réglementaires lui incombant en matière de protection des données personnelles. Rien de surprenant au regard de l’inflation permanente et de la complexité accrue de nos réglementations.
Cette délibération est assez révélatrice des maux de notre droit.
Et dans le même temps, son absence de mise en conformité est la solution la plus “rentable financièrement”. Il lui aurait été quasi-impossible de trouver un conseil fiable l’accompagnant dans sa mise en conformité pour moins de 3 000€ …
Données des pharmacies et IQVIA : la CNIL s’explique et va mener des contrôles
18/05/2021
Le 22/05/2021 à 17h 44
C’est (à titre personnel) très intéressant d’avoir la perception d’un pharmacien. Je me demandais ce qu’avaient pu penser les gens de cette intervention.
En tant que personne impliquée dans le domaine de la protection des données personnelles, j’ai pour ma part trouvé les réponses formulées par le Secrétaire d’État, au mieux, très légères, au pire, mensongères.
Sur l’exemple que tu cites (i.e. la justification par Cédric O des 50 millions d’euros prononcées par la CNIL à l’encontre de Google en date du 21 janvier 2019), le Secrétaire d’État invoque une “infraction minime” qui justifierait le prononcé d’une sanction proportionnellement faible pour Google. Or, c’est une approximation incroyable, dans la mesure où la commission restreinte de la CNIL sanctionna Google pour des manquements à (i) ses obligations de transparence et d’information, mais également pour (ii) une absence de récolte valable du consentement des personnes pour les traitements de personnalisation de la publicité.
Autrement dit, ce sont des manquements aux obligations des articles 6, 7, 12 et 13 du RGPD. Ces articles ont une importance toute particulière dans les obligations fixées par le RGPD (information & bases légales). Ils n’ont rien de sujets annexes et minimes : ce sont des principes fondamentaux pour le respect de la vie privée des individus. Leur non-respect justifie à ce titre (à bien meilleur titre que le non-respect de nombreux autres articles) des sanctions efficaces et dissuasives …
Dans un tout autre domaine (le cas Doctissimo), Cédric O affirma que l’entreprise serait “sans le moindre doute sanctionnée par la CNIL en cas d’illégalité”. Là encore, c’est un discours totalement trompeur, bien éloigné des réalités. La CNIL est une autorité qui sanctionne assez peu, en volume (Cf son rapport 2020), comparé à certains de ses homologues européens (l’AEPD en Espagne par exemple). D’une part car elle n’en a pas les moyens humains (225 agents), et d’autre part car ses procédures de sanctions sont parfois très longues (Cf la récente délibération prononcée à l’égard de Carrefour à titre d’exemple).
En espérant avoir pu vous éclairer sur le contenu de certains propos de notre Secrétaire d’Etat …
Le 18/05/2021 à 13h 00
L’ami, je ne vois pas le rapport avec mon explication précédente …
Le 18/05/2021 à 10h 04
Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.
Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.
Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.
Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.
Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme avec les lignes directrices sur la transparence au sens du règlement (UE) 2016⁄679 (WP260 rev.0) du 11 avril 2018, de l’EDPB.
Au Conseil d’État, avis de tempête sur l’océan des données de connexion
20/04/2021
Le 22/04/2021 à 07h 37
Sujet éminemment complexe et technique.
Un grand merci pour cette synthèse Marc !
Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera
20/05/2020
Le 21/05/2020 à 09h 55
Reconnaissance faciale : la lettre de la CNIL adressée à Renaud Muselier
30/10/2019
Le 31/10/2019 à 14h 44
Le 30/10/2019 à 15h 24
Nul doute qu’une proposition de loi sur le sujet devrait émerger à l’Assemblée nationale prochainement.
Interdiction de la reconnaissance faciale : Muselier, Estrosi et Ciotti furieux contre la CNIL
29/10/2019
Le 30/10/2019 à 15h 36
Cookies : la tolérance de la CNIL passe le cap du Conseil d’État
16/10/2019
Le 17/10/2019 à 14h 52
Le 17/10/2019 à 07h 22
Le Figaro invité par la CNIL à revoir sa politique de cookies
14/10/2019
Le 14/10/2019 à 15h 44
Une chose est certaine, si l’outil “Ad.report” cité dans l’article est fiable, le site du Figaro ne respecte toujours pas les durées de validité du consentement en matière de cookies (13 mois maximum selon les délibérations de 2013 et de 2019 de la CNIL).
On observe que de nombreux cookies disposent d’une durée de vie de 2 ans.
" />
Lois, décrets, décisions… le récap’ juridique de l’été 2019
02/09/2019
Le 04/09/2019 à 15h 01
L’inflation législative n’est pas prête de s’arrêter.