Le 11/02/2022 à 11h 35

La mise en demeure n’est pas une sanction. Nous n’en sommes donc pas là.

Le 10/02/2022 à 14h 32

Je n’ai aucun soucis avec le raisonnement juridique. Je le comprends parfaitement. Il s’inscrit dans la droite ligne de “Schrems II” et des “Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE” de l’EDPB.

Mais en publiant un simple communiqué via un article sur son site, la CNIL s’écarte de la nécessité de fournir un raisonnement juridique argumenté. Ainsi, et comme on le voit depuis ce matin, des raccourcis sont pris et de nombreux titres de presse et/ou des professionnels du secteur considèrant que “l’utilisation de GOOGLE ANALYTICS” est illégale.

Sans même se demander s’il n’est pas possible, à ce jour, d’utiliser GOOGLE ANALYTICS sans que cela ne suppose le traitement de données personnelles. Si tel était le cas, il n’y aurait plus d’enjeux de transferts de données personnelles hors UE …

Cette question revient d’ailleurs, pour partie, à se demander si GOOGLE ANALYTICS pourrait remplir les critères de l’exemption de consentement tels que prévus par les points 50 à 52 de la Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »)

En ne fournissant pas un argumentaire détaillé de sa prise de position (ce qui ressortirait forcément d’une délibération argumentée …), la CNIL fausse à mon sens -peut-être de manière délibérée- son discours. En conséquence de quoi, de nombreux raccourcis sont pris par les observateurs en tous genres.

Le 10/02/2022 à 11h 51

Suis-je le seul à trouver scandaleux cette nouvelle pratique de la CNIL consistant à publier des articles aux conséquences organisationnelles très importantes pour les entités privées et publiques françaises, sans prendre le soin de publier le contenu exact des argumentaires développés ?

En l’espèce, la mise en demeure n’est pas publique. Or, elle permettrait certainement d’identifier précisément les arguments développés par la Présidente de l’autorité.

Le communiqué de la CNIL est trop vague et imprécis pour permettre une réelle analyse de fond.

Une pratique similaire avait été opérée à l’occasion de la sanction par la CNIL “d’un responsable de traitement et de son sous-traitant sur des enjeux de “credential stuffing”” : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant
Tout en avertissant les responsables de traitement et sous-traitants de la nécessité de déployer des mesures contre les attaques de type “credential stuffing”, il était impossible de comprendre précisément les motifs de la décision (non publique) ayant conduit à une sanction de la part de la formation restreinte de la CNIL …

Le 03/02/2022 à 13h 36

Le communiqué de presse de l’IAB est une escroquerie sans nom :
“Nous nous félicitons de voir que cette dernière ne comporte aucune interdiction du TCF et considère que les infractions reprochées à l’IAB Europe peuvent être corrigées rapidement.”

Ils minimisent grandement la portée réelle de la décision de l’autorité Belge qui remet à mal l’existence même du TCF dans sa version actuelle (2.0) sur de nombreux points : bases légales, information des personnes et compréhension des finalités, mesures de sécurité et fiabilité du “TC string”, etc.

Le 16/09/2021 à 11h 01

(reply:1899412arth_Judge) Merci du conseil ! Effectivement, elle semble très complète au niveau des documents (une fois loggé) : bilans, actes, etc.

Sur ma propre structure, j’observe cependant une erreur sur la fiche entreprise, avec une “Date de clôture” d’exercice fiscal erronée (ou plus précisément, non actualisée de longue date). Quelques précautions s’imposent sur la fiabilité de certains champs

Le 16/09/2021 à 10h 36

ColinMaudry a dit:

Pour information, l’État propose un super annuaire des entreprises, collectivités et associations, rassemblant les données de nombreuses sources officielles : https://annuaire-entreprises.data.gouv.fr/

“Super annuaire”, c’est un peu prétentieux

Même si j’apprécie largement le travail que vous avez initié et réalisé ! J’utilise personnellement https://annuaire-entreprises.data.gouv.fr/ autant que possible dans le cadre de mon activité professionnelle.

Mais, sauf erreur de ma part, certains annuaire privés (Figaro entreprise par exemple) vont encore plus loin, ce qui est regrettable. A titre d’exemple, ces annuaires sont en mesure de proposer certains actes, comme les statuts constitutifs ou encore les bilans déposés par les entreprises. A quand un alignement ?

Le 16/09/2021 à 10h 30

A la lecture de la délibération, on identifie parfaitement à quel point le Président de cette société, seul salarié, a été totalement dépassé par les obligations réglementaires lui incombant en matière de protection des données personnelles. Rien de surprenant au regard de l’inflation permanente et de la complexité accrue de nos réglementations.

Cette délibération est assez révélatrice des maux de notre droit.

Et dans le même temps, son absence de mise en conformité est la solution la plus “rentable financièrement”. Il lui aurait été quasi-impossible de trouver un conseil fiable l’accompagnant dans sa mise en conformité pour moins de 3 000€ …

Le 22/05/2021 à 17h 44

durthu a dit:

Je n’aime pas forcément comme toi la mise en scène d’Elise Lucet et la tournure qu’elle veut toujours faire prendre pendant les interviews. Par exemple, avec Cédric O, elle voulait absolument lui faire dire que les sanctions sont ridicules pour les GAFAM et que la loi ne sert à rien. J’ai trouvé la réponse du secrétaire d’état très bonne, la loi est là, il ne faut pas hésiter à saisir les autorités compétentes pour la faire respecter.

C’est (à titre personnel) très intéressant d’avoir la perception d’un pharmacien. Je me demandais ce qu’avaient pu penser les gens de cette intervention.

En tant que personne impliquée dans le domaine de la protection des données personnelles, j’ai pour ma part trouvé les réponses formulées par le Secrétaire d’État, au mieux, très légères, au pire, mensongères.

Sur l’exemple que tu cites (i.e. la justification par Cédric O des 50 millions d’euros prononcées par la CNIL à l’encontre de Google en date du 21 janvier 2019), le Secrétaire d’État invoque une “infraction minime” qui justifierait le prononcé d’une sanction proportionnellement faible pour Google. Or, c’est une approximation incroyable, dans la mesure où la commission restreinte de la CNIL sanctionna Google pour des manquements à (i) ses obligations de transparence et d’information, mais également pour (ii) une absence de récolte valable du consentement des personnes pour les traitements de personnalisation de la publicité.

Autrement dit, ce sont des manquements aux obligations des articles 6, 7, 12 et 13 du RGPD. Ces articles ont une importance toute particulière dans les obligations fixées par le RGPD (information & bases légales). Ils n’ont rien de sujets annexes et minimes : ce sont des principes fondamentaux pour le respect de la vie privée des individus. Leur non-respect justifie à ce titre (à bien meilleur titre que le non-respect de nombreux autres articles) des sanctions efficaces et dissuasives …

Dans un tout autre domaine (le cas Doctissimo), Cédric O affirma que l’entreprise serait “sans le moindre doute sanctionnée par la CNIL en cas d’illégalité”. Là encore, c’est un discours totalement trompeur, bien éloigné des réalités. La CNIL est une autorité qui sanctionne assez peu, en volume (Cf son rapport 2020), comparé à certains de ses homologues européens (l’AEPD en Espagne par exemple). D’une part car elle n’en a pas les moyens humains (225 agents), et d’autre part car ses procédures de sanctions sont parfois très longues (Cf la récente délibération prononcée à l’égard de Carrefour à titre d’exemple).

En espérant avoir pu vous éclairer sur le contenu de certains propos de notre Secrétaire d’Etat …

Le 18/05/2021 à 13h 00

dematbreizh a dit:

Tu aurais du mieux lire l’article: “Le droit d’opposition ne s’exerce pas auprès d’IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires”

L’ami, je ne vois pas le rapport avec mon explication précédente …

Le 18/05/2021 à 10h 04

Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.

Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.

Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.

Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.

Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme avec les lignes directrices sur la transparence au sens du règlement (UE) ²⁰¹⁶⁄₆₇₉ (WP260 rev.0) du 11 avril 2018, de l’EDPB.

Le 22/04/2021 à 07h 37

Sujet éminemment complexe et technique.
Un grand merci pour cette synthèse Marc !

Le 21/05/2020 à 09h 55

Kazer2.0 a écrit :

C’est pire que ça, Numéricâble avait fait chier un abonné comme ça il y a quelques années lors d’enquête judiciaire car quand leur soft n’avait pas la bonne MAC, ça mettait la sienne par défaut.

Le mec se retrouve convoqué pour de sale affaire alors qu’il n’avait rien fait à cause de cette “erreur”.


Numéricable s’était pris un avertissement de la CNIL pour cette affaire me semble t-il ?

Le 31/10/2019 à 14h 44

Quiproquo a écrit :

Le RGPD est une loi européenne, je vois mal comment la contourner avec une loi française.


Le RGPD est un règlement, construit à l’issue d’une phase de trilogue : les compromis y sont nombreux. Et dans le cadre de ces compromis, le RGPD permet aux Etats membre de l’UE de prévoir des règles nationales spécifiques dans de nombreux domaines. C’est ce que l’on appelle les “marges de manœuvre”.

Petit exemple concret avec l’article 9 du RGPD en matière de données biométriques (qui sont ici au centre de l’attention dans le cadre d’un dispositif de reconnaissance facile) :
Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

Le 30/10/2019 à 15h 24

Nul doute qu’une proposition de loi sur le sujet devrait émerger à l’Assemblée nationale prochainement.

Le 30/10/2019 à 15h 36

eliumnick a écrit :

J’ai du mal à voir l’intérêt pédagogique de la reconnaissance faciale. Qq1 pour m’aider ? ^^



Contrairement à ce que j’ai pu lire dans les précédents commentaires, “l’intérêt pédagogique” fait référence au fait que les expérimentations de contrôle des accès par reconnaissance facile mis en oeuvre sur les 2 lycées s’accompagnaient de “projets pédagogiques” pour les élèves des classes concernées.

 Autrement dit, les classes auxquelles le projet était proposé devaient, en même temps que l’expérimentation, travailler avec leurs professeurs sur l’étude technique du dispositif de reconnaissance facile. Les classes concernaient suivent un cursus en lien avec ce type de sujet.

A chacun de considérer si cet “argument pédagogique” est sincère ou non. Mais il avait le mérite d’exister.

 

Le 17/10/2019 à 14h 52

crocodudule a écrit :

Perso je l’interprète comme ça: (…) on doit en revanche informer l’internaute de l’existence de ces cookies. (but selon la CJUE “protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel” )



L’interprétation me semble extensive. Si la CJUE avait voulu aller dans ce sens, elle aurait clairement fait ressortir cet élément de son arrêt (et l’aurait intégré explicitement dans son communiqué de presse).

J’entends que la question préjudicielle à laquelle la CJUE répond ne précise pas le périmètre de l’information dont il est question : Quelles sont les informations que le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète voulue par l’article 5, paragraphe 3, de la directive [²⁰⁰²⁄₅₈] ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?

Mais dans son argumentaire, la CJUE fait expressement référence à l’information devant être fournie en amont de “l’accord” donné par l’utilisateur (Cf  à cet égard les points 72 à 75 de l’arrêt). En ce sens, la CJUE ne me semble pas se prononcer sur l’information qui devrait être fournie dans le cas des exceptions prévus par la Directive “e-privacy” permettant l’utilisation et le dépôt de cookies sans consentement.

Le 17/10/2019 à 07h 22

Lesgalapagos a écrit :

On ne peut, hélas, se limité à une lecture du texte du RGPD. Il convient aussi de suivre les décisions de la CEDJ, une décision récente concerne bien l’ensembles des cookies qui nécessiteraient un accord préalable.


L’affaire C-⁶⁷³⁄₁₇ à laquelle vous faîtes référence ne pose pas un tel principe.
 
Elle confirme la nécessité d’obtenir un consentement préalable au dépôt de cookies, conformément à la Directive “e-privacy”. Elle ne remet pas en question les exceptions de cette même Directive, qui permettent l’utilisation et le dépôt de cookies sans consentement lorsque ces derniers :

• visent exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ; ou
  


• sont strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. 
  
  
  Autrement dit, les cookies “techniques” ne nécessitent pas de consentement préalable. Et heureusement " />

Le 14/10/2019 à 15h 44

Une chose est certaine, si l’outil “Ad.report” cité dans l’article est fiable, le site du Figaro ne respecte toujours pas les durées de validité du consentement en matière de cookies (13 mois maximum selon les délibérations de 2013 et de 2019 de la CNIL).

On observe que de nombreux cookies disposent d’une durée de vie de 2 ans.

" />

Le 04/09/2019 à 15h 01

L’inflation législative n’est pas prête de s’arrêter.