Fl0Wer
est avec nous depuis le 6 août 2019 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
19 commentaires
Pour la CNIL aussi, les transferts internationaux de Google Analytics sont illégaux
Le 10/02/2022Le 11/02/2022 à 11h 35
La mise en demeure n’est pas une sanction. Nous n’en sommes donc pas là.
Le 10/02/2022 à 14h 32
Je n’ai aucun soucis avec le raisonnement juridique. Je le comprends parfaitement. Il s’inscrit dans la droite ligne de “Schrems II” et des “Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE” de l’EDPB.
Mais en publiant un simple communiqué via un article sur son site, la CNIL s’écarte de la nécessité de fournir un raisonnement juridique argumenté. Ainsi, et comme on le voit depuis ce matin, des raccourcis sont pris et de nombreux titres de presse et/ou des professionnels du secteur considèrant que “l’utilisation de GOOGLE ANALYTICS” est illégale.
Sans même se demander s’il n’est pas possible, à ce jour, d’utiliser GOOGLE ANALYTICS sans que cela ne suppose le traitement de données personnelles. Si tel était le cas, il n’y aurait plus d’enjeux de transferts de données personnelles hors UE …
Cette question revient d’ailleurs, pour partie, à se demander si GOOGLE ANALYTICS pourrait remplir les critères de l’exemption de consentement tels que prévus par les points 50 à 52 de la Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »)
En ne fournissant pas un argumentaire détaillé de sa prise de position (ce qui ressortirait forcément d’une délibération argumentée …), la CNIL fausse à mon sens -peut-être de manière délibérée- son discours. En conséquence de quoi, de nombreux raccourcis sont pris par les observateurs en tous genres.
Le 10/02/2022 à 11h 51
Suis-je le seul à trouver scandaleux cette nouvelle pratique de la CNIL consistant à publier des articles aux conséquences organisationnelles très importantes pour les entités privées et publiques françaises, sans prendre le soin de publier le contenu exact des argumentaires développés ?
En l’espèce, la mise en demeure n’est pas publique. Or, elle permettrait certainement d’identifier précisément les arguments développés par la Présidente de l’autorité.
Le communiqué de la CNIL est trop vague et imprécis pour permettre une réelle analyse de fond.
Une pratique similaire avait été opérée à l’occasion de la sanction par la CNIL “d’un responsable de traitement et de son sous-traitant sur des enjeux de “credential stuffing”” : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant
Tout en avertissant les responsables de traitement et sous-traitants de la nécessité de déployer des mesures contre les attaques de type “credential stuffing”, il était impossible de comprendre précisément les motifs de la décision (non publique) ayant conduit à une sanction de la part de la formation restreinte de la CNIL …
Le cadre RGPD imaginé par les géants de la publicité ne respecte pas le RGPD
Le 02/02/2022Le 03/02/2022 à 13h 36
Le communiqué de presse de l’IAB est une escroquerie sans nom :
“Nous nous félicitons de voir que cette dernière ne comporte aucune interdiction du TCF et considère que les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement.”
Ils minimisent grandement la portée réelle de la décision de l’autorité Belge qui remet à mal l’existence même du TCF dans sa version actuelle (2.0) sur de nombreux points : bases légales, information des personnes et compréhension des finalités, mesures de sécurité et fiabilité du “TC string”, etc.
La CNIL inflige 3 000 euros d’amende à l’AnnuaireFrancais.fr
Le 16/09/2021Le 16/09/2021 à 11h 01
Sur ma propre structure, j’observe cependant une erreur sur la fiche entreprise, avec une “Date de clôture” d’exercice fiscal erronée (ou plus précisément, non actualisée de longue date). Quelques précautions s’imposent sur la fiabilité de certains champs
Le 16/09/2021 à 10h 36
“Super annuaire”, c’est un peu prétentieux
Même si j’apprécie largement le travail que vous avez initié et réalisé ! J’utilise personnellement https://annuaire-entreprises.data.gouv.fr/ autant que possible dans le cadre de mon activité professionnelle.
Mais, sauf erreur de ma part, certains annuaire privés (Figaro entreprise par exemple) vont encore plus loin, ce qui est regrettable. A titre d’exemple, ces annuaires sont en mesure de proposer certains actes, comme les statuts constitutifs ou encore les bilans déposés par les entreprises. A quand un alignement ?
Le 16/09/2021 à 10h 30
A la lecture de la délibération, on identifie parfaitement à quel point le Président de cette société, seul salarié, a été totalement dépassé par les obligations réglementaires lui incombant en matière de protection des données personnelles. Rien de surprenant au regard de l’inflation permanente et de la complexité accrue de nos réglementations.
Cette délibération est assez révélatrice des maux de notre droit.
Et dans le même temps, son absence de mise en conformité est la solution la plus “rentable financièrement”. Il lui aurait été quasi-impossible de trouver un conseil fiable l’accompagnant dans sa mise en conformité pour moins de 3 000€ …
Données des pharmacies et IQVIA : la CNIL s’explique et va mener des contrôles
Le 18/05/2021Le 22/05/2021 à 17h 44
C’est (à titre personnel) très intéressant d’avoir la perception d’un pharmacien. Je me demandais ce qu’avaient pu penser les gens de cette intervention.
En tant que personne impliquée dans le domaine de la protection des données personnelles, j’ai pour ma part trouvé les réponses formulées par le Secrétaire d’État, au mieux, très légères, au pire, mensongères.
Sur l’exemple que tu cites (i.e. la justification par Cédric O des 50 millions d’euros prononcées par la CNIL à l’encontre de Google en date du 21 janvier 2019), le Secrétaire d’État invoque une “infraction minime” qui justifierait le prononcé d’une sanction proportionnellement faible pour Google. Or, c’est une approximation incroyable, dans la mesure où la commission restreinte de la CNIL sanctionna Google pour des manquements à (i) ses obligations de transparence et d’information, mais également pour (ii) une absence de récolte valable du consentement des personnes pour les traitements de personnalisation de la publicité.
Autrement dit, ce sont des manquements aux obligations des articles 6, 7, 12 et 13 du RGPD. Ces articles ont une importance toute particulière dans les obligations fixées par le RGPD (information & bases légales). Ils n’ont rien de sujets annexes et minimes : ce sont des principes fondamentaux pour le respect de la vie privée des individus. Leur non-respect justifie à ce titre (à bien meilleur titre que le non-respect de nombreux autres articles) des sanctions efficaces et dissuasives …
Dans un tout autre domaine (le cas Doctissimo), Cédric O affirma que l’entreprise serait “sans le moindre doute sanctionnée par la CNIL en cas d’illégalité”. Là encore, c’est un discours totalement trompeur, bien éloigné des réalités. La CNIL est une autorité qui sanctionne assez peu, en volume (Cf son rapport 2020), comparé à certains de ses homologues européens (l’AEPD en Espagne par exemple). D’une part car elle n’en a pas les moyens humains (225 agents), et d’autre part car ses procédures de sanctions sont parfois très longues (Cf la récente délibération prononcée à l’égard de Carrefour à titre d’exemple).
En espérant avoir pu vous éclairer sur le contenu de certains propos de notre Secrétaire d’Etat …
Le 18/05/2021 à 13h 00
L’ami, je ne vois pas le rapport avec mon explication précédente …
Le 18/05/2021 à 10h 04
Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.
Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.
Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.
Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.
Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme avec les lignes directrices sur la transparence au sens du règlement (UE) 2016⁄679 (WP260 rev.0) du 11 avril 2018, de l’EDPB.
Au Conseil d’État, avis de tempête sur l’océan des données de connexion
Le 20/04/2021Le 22/04/2021 à 07h 37
Sujet éminemment complexe et technique.
Un grand merci pour cette synthèse Marc !
Le Conseil constitutionnel censure un bout de la loi Hadopi, mais rien ne changera
Le 20/05/2020Le 21/05/2020 à 09h 55
Reconnaissance faciale : la lettre de la CNIL adressée à Renaud Muselier
Le 30/10/2019Le 31/10/2019 à 14h 44
Le 30/10/2019 à 15h 24
Nul doute qu’une proposition de loi sur le sujet devrait émerger à l’Assemblée nationale prochainement.
Interdiction de la reconnaissance faciale : Muselier, Estrosi et Ciotti furieux contre la CNIL
Le 29/10/2019Le 30/10/2019 à 15h 36
Cookies : la tolérance de la CNIL passe le cap du Conseil d’État
Le 16/10/2019Le 17/10/2019 à 14h 52
Le 17/10/2019 à 07h 22
Le Figaro invité par la CNIL à revoir sa politique de cookies
Le 14/10/2019Le 14/10/2019 à 15h 44
Une chose est certaine, si l’outil “Ad.report” cité dans l’article est fiable, le site du Figaro ne respecte toujours pas les durées de validité du consentement en matière de cookies (13 mois maximum selon les délibérations de 2013 et de 2019 de la CNIL).
On observe que de nombreux cookies disposent d’une durée de vie de 2 ans.
" />
Lois, décrets, décisions… le récap’ juridique de l’été 2019
Le 02/09/2019Le 04/09/2019 à 15h 01
L’inflation législative n’est pas prête de s’arrêter.