RGPD, la fête est finie ! Cookies, Consentement et Prospection Commerciale, nous sommes tous concernés. Par Philippe Gabillault, Expert en protection des données. Fin 2020, trois délibérations rendues par la formation restreinte de la CNIL les 18 novembre, 7 et 8 décembre 2020 à l’encontre des sociétés Carrefour France, Performeclic et Nestor ont rappelé les principes et les limites dans l’utilisation des données collectées par le biais de cookies et autres traceurs, notamment les données vendues aux entreprises par les « data brokers » et celles fournies par les outils de prospection commerciale développés par les grands acteurs des technologies, dont l’outil « Sales Navigator » édité par LinkedIn.
Ce qu’il faut retenir de ses décisions : Le dépôt automatique de cookies marketing sans le recueil préalable du consentement de la personne n’est plus acceptable ; En matière de prospection commerciale entre professionnels, la CNIL rappelle que l’existence d’un lien direct avec l’activité professionnelle des prospects est nécessaire pour justifier d’un intérêt légitime et dispenser l’entreprise d’un consentement du prospect ; « 182. Mesure d’audience, Sécurité des SI de santé : La Cnil sanctionne deux médecins. [Tribune] Data Privacy: que vont changer les nouvelles réglementations de la CNIL. Je m'abonne Pour répondre au RGPD de mai 2018, les entreprises ont fait apparaître sur leur site des gestionnaires de consentement liés au dépôt de cookie.
Un règlement qui était jusqu'alors toujours sujet aux interprétations. Les sites d'e-commerce avaient tendance à faire du soft opt-in, c'est-à-dire que le seul fait de scroller des pages ou de passer à la page suivante valait comme consentement du dépôt de cookie, tandis que dans les sites bancaires ou d'assurances, le non-consentement était le choix utilisé par défaut. Des niveaux d'interprétations différents qui ont eu un impact non négligeable sur la collecte des données personnelles.
Selon une étude Commanders Act réalisée en 2019, le taux de consentement dans le secteur financier était de 29 %, alors que dans le secteur mode & retail il était de 72 %, avec des taux allant jusqu'à 91 %. Prospection commerciale : sanction de 20 000 euros à l’encontre de la société NESTOR. La CNIL, saisie de plusieurs plaintes, a effectué des contrôles en mai 2019 et février 2020 auprès de la société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux.
À cette occasion, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles de prospects et de clients. Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le Code des postes et des communications électroniques (CPCE) et le RGPD. Un manquement à l’obligation de recueillir le consentement des personnes lors d’une prospection par courriel (article L. 34-5 du CPCE) Decision de la formation restreinte ndeg san 2020 018 du 8 decembre 2020 concernant la societe nestor sas.
Violations de données de santé : la CNIL sanctionne deux médecins. À la suite d’un contrôle en ligne réalisé en septembre 2019, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet.
Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées. Êtes-vous responsable de traitement RGPD ou sous-traitant ? Comment identifier les responsabilités de chacun lors d’un traitement de données impliquant des parties tierces ?
Cet organigramme vous permettra de déterminer le rôle de responsable de traitement RGPD et de sous-traitant lorsque cela n’a pas été établi contractuellement. Posez-vous les bonnes questions et identifiez votre situation grâce aux réponses ! Est-ce que les objectifs et moyens du traitement que vous déterminez reposent sur une compétence légale spécifique ? Est-ce que les objectifs et moyens du traitement que vous déterminez reposent sur une compétence implicite ? Est-ce que vous déterminez en pratique les objectifs et moyens du traitement ? Invalidation du Privacy Shield : les recommandations du CEPD. Avec Dovekey, Google Ads se positionne enfin sur la fin des cookies tiers. Le géant de la publicité s'inspire d'une proposition formulée par Criteo pour concilier retargeting et respect de la vie privée.
Mais les zones d'ombre sont encore nombreuses. Elle était la grand absente d'un débat qui la concerne pourtant au premier chef. La division publicitaire de Google, Google Ads, ne s'était jusqu'à fin septembre pas exprimée sur le sujet de Privacy Sandbox, cette suite d'API ouvertes mise sur pied par le navigateur Chrome pour remplacer les cookies tiers. Données personnelles de salariés: amende de 35 millions d'euros contre H&M en Allemagne. L'Allemagne a infligé jeudi une amende sans précédent de 35,3 millions d'euros au groupe de prêt-à-porter H&M, pour avoir enregistré des données privées de certains salariés à leur insu, a annoncé le centre de protection des données du pays jeudi.
"Une amende de 35.258.707,95 euros est requise contre H&M (...) pour une affaire de surveillance de plusieurs centaines de ses collaborateurs", a indiqué le Commissariat à la protection des données de Hambourg. Il s'agit du montant le plus important infligé par l'Allemagne à une entreprise au nom de la législation européenne sur la protection des données privées (RGPD), depuis son entrée en vigueur en 2018, a indiqué une porte-parole de l'institution à l'AFP. Les autorités reprochent au groupe de prêt-à-porter d'avoir laissé des responsables d'un site H&M, à Nuremberg (sud), rassembler et stocker des informations sur leurs salariés, entre 2014 et 2019. Big Data & IA - Quelle place laisser à la vie privée ? Keynote tenue lors du B2B Kite Summit 2019 à Dakhla A votre avis ?
Combien avez-vous d’applications chargées dans votre smartphone ? Même approximativement ? 30, 50, 100, 150 ? Et qui parmi nous a lu les conditions générales des applications qu’il utilise, afin de savoir ce qui est fait des données personnelles que nous laissons derrière nous ? Sont-elles partagées avec d’autres applications, pour quelles finalités ? Peut-être allons-nous répondre que cela ne nous intéresse pas, que nous acceptons de ne pas savoir ce qui est fait avec NOS données à caractère personnel, que nous faisons ce que NOUS voulons, et que de toute façon nous n’avons rien à cacher, que notre consentement est ainsi implicite. OK. 101 entreprises européennes sont attaquées pour non respect du RGPD. Ces 101 entités européennes, dont 6 sont françaises, sont accusées de transférer de manière illégale des données vers les États-Unis.
À l’origine de ce recours, Noyb pour None of Your Business, une association fondée par par l’activiste Maximilien Schrems. Les Français, mauvais élèves européens de la protection de leurs données. Une nouvelle étude* OpenText réalisée auprès de 2000 consommateurs français, met en lumière un manque de connaissance du public quant au traitement de ses données par les entreprises, comparé à ses voisins européens.
L’enquête révèle que moins d’un Français sur cinq (17 %) serait prêt à payer plus cher ses achats auprès d’une entreprise qui s’engage à protéger la confidentialité de ses données personnelles. Une proportion bien inférieure à celle de leurs homologues allemands (41 %), britanniques (49 %) ou espagnols (36 %). Un tiers (33 %) des Français interrogés ne font pas confiance aux entreprises pour préserver la sécurité ou la confidentialité de leurs données personnelles, mais une fois encore, cette proportion est nettement inférieure à celle de leurs voisins : 47 % des Allemands, 45 % des Britanniques, 39 % des Espagnols. Autres articles. Cnil charte des controles. Données personnelles et RGPD – Une sanction emblématique de la Cnil. Faits et contrôle en bref Par décision de la Cnil du 30 mars 2018, une société de vente en ligne, opérant dans 13 pays de l'Union européenne, a fait l'objet d'une mission de contrôle dans ses locaux français.
Elle a constaté de nombreux manquements aux règles de protection des données des clients traitées par ce vendeur. La Cnil, autorité chef de file La société exerçant ses activités dans 13 pays de l'UE, pour la première fois depuis l'entrée en application du RGPD, la Cnil a joué le rôle d'"autorité chef de file" prévue par le Règlement tout au long de la procédure d'instruction, recueillant les observations des diverses autorités de contrôle ayant collaboré, en l'occurrence l'Italie, le Portugal et la Basse Saxe en Allemagne. Droit à l'oubli : La Cnil belge inflige une amende record de 600 000 euros à Google.
L'autorité protectrice des données (APD) – l'équivalent de la Cnil en Belgique – a imposé le 14 juillet une amende de 600 000 euros à Google Belgium pour non-respect du droit à l'oubli. Il s'agit de la plus lourde sanction imposée par l'APD à ce jour. Données, vidéosurveillance... en 2019, les plaintes à la Cnil ont fait un nouveau bond de 27%
Hausse des plaintes, sanction record, cookies… La Cnil dresse son bilan pour 2019. C'est l'heure du bilan. La Commission nationale de l'informatique et des libertés (Cnil) a publié le 9 juin 2020 son rapport pour l'année 2019. "Pour la deuxième année consécutive, la CNIL constate des chiffres inédits. Le nombre croissant de plaintes et les nombreuses désignations de délégués à la protection des données témoignent à nouveau de la très forte mobilisation autour du Règlement général sur la protection des données", se réjouit l'autorité protectrice de la vie privée. Hausse de 27 % des plaintes Le nombre de plaintes reçues est en hausse de 27%. Elles sont passées de 11 077 en 2018 à 14 137 en 2019. La Cnil a effectué 300 contrôles Sur le volet répressif, la Cnil a procédé à 300 contrôles (169 sur place, 53 en ligne, 45 sur pièce et 18 auditions).
D'après le rapport, 42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. La Cnil publie son rapport annuel pour 2019. COVID-19: que dit le décret autorisant le traitement des données de santé ? Par Marie Torelli, Lucile Desbordes et Gérard Haas. Fiche pratique cookies, CNIL, RGPD : consentement, droits et obligations. Par Gérard Haas, Ambre Bernat et Aurelie Puig. RGPD : Un premier modèle de clauses contractuelles types pour la sous-traitance. Le RGPD impose que la sous-traitance d’un traitement de données personnelles soit encadrée formellement via un contrat (ou autre acte juridique contraignant) qui "définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement" (art. 28).
PiWeb, Création de Site Web, e-commerce et Marketing Digital. Vous devez inclure une page ‘Mentions légales’ incluant au minimum les éléments suivants: Base légale d’un traitement de vidéosurveillance. Dans un arrêt du 11 décembre 2019 (Aff. C-708/18), la CJUE valide l’intérêt légitime comme base légale d’un traitement de vidéosurveillance, précisant les trois conditions devant être remplies : la poursuite d’un intérêt légitime, la nécessité du traitement pour la réalisation d’un traitement légitime et la conciliation entre les droits et libertés fondamentaux des personnes concernées, ces derniers ne devant pas prévaloir sur l’intérêt légitime poursuivi.
En l’occurrence, le litige concernait l’installation de caméras de vidéosurveillance dans un immeuble en Roumanie, installation que l’un des propriétaires considérait comme une violation de son droit au respect de sa vie privée. AnalyticsPrivacyDriven ATInternet. Fichiers personnels sur ordinateur professionnel : accès, surveillance. La fouille de l'ordinateur d'un salarié par l'employeur est autorisée sauf si un dossier est indiqué comme personnel et confidentiel. L'utilisation d'un ordinateur professionnel à des fins personnelles. RGPD : les conseils de la Cnil pour bien utiliser la visioconférence. [REGLEMENT GENERAL POUR LA PROTECTION DES DONNEES PERSONNELLES] L'organisme français donne ses conseils pour protéger sa vie privée lors de l'utilisation de logiciels comme Zoom et Slack. [Article mis à jour le 10 avril 2020 à 12h36] Confinement pour lutter contre le coronavirus oblige, l'utilisation des logiciels de visioconférence explose.
Mais depuis quelques jours, ces logiciels font l'objet de critiques liées à l'exploitation des données personnelles. Recommandation Cookies CNIL : Qu'est-ce qui change ? Récapitulatif sur les cookies Ne vous est-il jamais arrivé de voir sur Internet des publicités très similaires, si ce n’est les mêmes, renvoyant à des recherches que vous aviez effectuées quelques jours plus tôt ? RGPD : les risques que le coronavirus fait encourir à votre vie privée. EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants. RGPD : seul 28% des entreprises en conformité. RGPD – L’Autorité de protection des données impose de nouvelles sanctions. Le RGPD, un frein dans la lutte contre la contrefaçon ! Publicité ciblée: la Cnil va-t-elle trop loin dans l'interprétation du RGPD?
Vente de prestations : obligations et bonnes pratiques. RGPD : une amende de 250K€ pour la ligue de football espagnole. Lourde sanction infligée à Google par la Cnil pour plusieurs manquements au RGPD - La revue européenne des médias et du numérique. Protection des données personnelles: Le RGPD, une opportunité business pour les entreprises. Données personnelles : la CNIL détaille les règles que les agences immobilières doivent respecter. Les règles contraignantes d'entreprises ("BCR"), une solution pour les multinationales qui peut être à géométrie variable. Outil de déchiffrement du rançongiciel (ransomware) PyLocky versions 1 et 2. "RGPD" : le renforcement de la protection de vos données personnelles. RGPD : Attention aux traitements comportant l’usage du numéro de sécurité sociale LégiSocial.
1 an de RGPD : une prise de conscience inédite. SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation. Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application.
RGPD : 6 étapes CONCRÈTES pour entrer en conformité - Intuiti Inside. [Etude] Les Français et leur relation aux marques. RGPD : plus de 95.000 plaintes déposées, les amendes commencent à tomber. Un outil pour maintenir à jour vos registres de traitements RGPD - The official voice of the Obeo experts. Prélèvement de l’impôt à la source et RGPD : bénéficiez de l’expertise d’ActeCil ! - Actecil. Les sites web des hôtels, des passoires en termes de sécurité ? HOTELS ET RGPD: Quelle sécurité des données personnelles ? RGPD : une faille dans le système de protection des données des hôtels. Assurance GDPR (RGPD) - Assurer sa conformité RGPD. Données personnelles : l'énorme bourde d'Amazon avec Alexa. Protection des données : la Cnil inflige 250 000 euros d'amende à Bouygues Telecom. Piratage : la Cnil inflige une amende de 400 000 € à Uber. Les réglementations de protection des données personnelles ont-elles un train de retard ?
Propos dissonants et sans langue de bois après 6 mois d’application du GDPR. Comment le RGPD impacte-t-il les politiques de cookies ? – IT Governance Blog FR.