Parce que certains cadeaux du père Noël s’égarent en chemin, voici ce qu’il ne faut pas manquer :

I) Chez Free ils n’ont pas tous compris

Le 30 novembre 2022 la CNIL a prononcé une sanction de 300.000€ à l’encontre de Free.

Manquements :

  • non-respect des droits d’accès et d’effacement des données personnelles,
  • abscence de protection pour les faits suivants :

Plus de 4.000 boitiers auraient été réattribués à de nouveaux clients sans que les données des anciens abonnés n’aient été correctement effacées. Il s’agirait notamment de photos et de vidéos personnelles.

Free a désormais 3 mois pour se mettre en conformité, affaire à suivre…

II) Une sanction pas très soft pour Microsoft

Dans sa délibération du 19 décembre 2022, la CNIL a prononcé une amende de 60 millions d’euros à l’encontre de la société Microsoft.

La CNIL a en effet réalisé plusieurs contôles sur le site « bing.com » et voici ce qu’elle a constaté :

  • dépôt de cookies plublicitaires (soumis à consentement) sans recueil du consentement
  • bandeau cookies avec un refus des cookies plus complexe que l’acceptation

III) L’échappée belle de Lusha

L’extension pour navigateur web proposée par la société Lusha permet à ses utilisateurs de connaître les coordonnées professionnelles de personnes cibles dont ils visitent le profil sur le réseau social LinkedIn ou la plateforme de relations client Salesforce. 

Selon la CNIL, cette extension a une finalité de mise à disposition de coordonnées de prospects, en plus de la finalité de lutte contre la fraude en ligne clamée par la société Lusha.

Fort heureusement pour Lusha, la CNIL a considéré qu’il n’y avait pas lieu de prononcer une sanction en l’absence des critères d’application du RGPD :

  • La société ne dispose d’aucun établissement dans l’Union européenne ;
  • Le produit n’est pas lié à une offre de biens ou de services aux personnes concernées ;
  • Les personnes concernées ne font pas l’objet d’un suivi de comportement par la société, cette dernière n’utilisant aucune technique de traitement des données personnelles aux fins de profilage d’une personne physique.

IV) Un croc de plus pour la pomme

Par sa délibération du 29 décembre 22, la CNIL a sanctionné la société Apple à hauteur de 8 millions d’euros pour défaut de recueil du consentement.

La CNIL a constaté que sous une ancienne version du système d’exploitation de l’IPhone (IOS 14.6), si un utilisateur se rendait sur l’App Store, ses identifiants étaient par défaut automatiquement lus sans son consentement préalable.

Néanmoins ces identifiants poursuivaient une finalité de personnalisation des annonces publicitaires diffusées sur l’App Store, et le parcours client de désactivation via les paramètres était complexe.

V) L’enfer est pavé de Chat GPT

L’intelligence artificielle ChatGPT, créée par Open AI connaît un succès exponentiel ces dernières semaines.

Capacités principales de cette IA :

  • répondre à des questions très techniques en seulement quelques secondes,
  • écrire des articles complets sur tout sujet
  • reconnaître ses éventuelles erreurs lorsqu’il lui arrive d’en commettre.

Face au flou artistique qui gravite autour du fonctionnement de l’outil (boite noire), comment ne pas se poser des questions en termes de protection des données personnelles. À plus forte raison si Chat GPT vient à être intégré à un moteur de recherche comme Microsoft.

VI) DDP atteinte pour les CCT de la Commission européenne

Suite à l’arrêt Schrems II de la Cour de justice de l’Union européenne, la Commission européenne a mis à jour ses CCT (clauses contractuelles types).

Les anciennes clauses ne pourront donc plus être utilisées à partir du 27 décembre 2022.

VII) Piqûre de rappel sur la vente de fichiers clients

La CNIL a tenu à rappeler les règles de vente d’un fichier clients.

La vente d’un fichier clients est encadrée :

  • le fichier vendu ne doit contenir que les données des clients actifs (dernière interaction il y a moins de 3 ans).
  • il ne peut contenir que les données des clients consentants, ou ne s’y étant pas opposés (optin)
  • l’acquéreur du fichier doit informer les clients et vérifier qu’ils consentent à la prospection électronique
  • l’acquéreur devra respecter le droit des personnes, notamment si ces dernières ne souhaitent pas recevoir de nouvelles sollicitations.

VIII) Vous n’allez plus vous passer de CookieViz

CookieViz est un logiciel CNIL qui permet aux utilisateurs de mesurer l’impact des cookies déposés sur un site internet. CookieViz ne liste pas les cookies déposés sur un site (on en rêve), mais il apporte de la visibilité sur les échanges de données avec des tiers.

Bonne nouvelle, s’en est fini de l’application inutilisable, CookieViz est désormais disponible sous la forme d’une extension de navigateur.

IX) La nouvelle procédure de sanction simplifiée de la CNIL

La CNIL a lancé sa procédure simplifiée pour les manquements qui ne présentent pas de difficultés particulières.

Bien que les sanctions prononcées via une procédure simplifiée ne soient pas rendues publiques ce qui limite considérablement leur retentissement, on se doutait que cette procédure allait permettre de réaliser davantage de contrôles.

Force est de constater que nous ne nous étions pas trompés.

Au mois de décembre ce sont des médecins et des universités qui ont été dans le collimateur de la CNIL, bien loin des sanctions de Google ou Microsoft.

La CNIL affirme sa volonté d’élargir ses contrôles aux plus petites structures. Cela va de pair avec la multiplication des formations proposées aux professionnels pour les responsabiliser dans la gestion de leur conformité.