Avertir le modérateur

cnil

  • Sanction de 150 000 euros pour Google

     

    Google France sanctionnée

     

    Une sanction pécuniaire de 150 000 a été prononcée par la CNIL à l’encontre de la société Google pour non respect de la loi « informatique et libertés ». Le communiqué de la sanction a été en page d’accueil de Google.fr pendant huit jours. 


    UPLEX CHANGE DE PLATEFORME ABONNEZ-VOUS A LA NEWSLETTER ICI

     

    La société Google Inc. a soulevé en vain, l’inapplicabilité de la loi du 6 janvier 1978 à ses services établis aux Etats Unis. La société Google France a été considérée comme responsable d’un traitement de données personnelles établi en France dès lors que, parmi les activités de la société Google France, figure l’exploitation de services de publicité en ligne. Or, l’exploitation de ces services est étroitement liée à l’exploitation des données personnelles des internautes français. En particulier, la collecte et le traitement des cookies sur les terminaux des internautes français est bien constitutive d’un traitement de données personnelles établi en France indépendamment de la localisation technique des serveurs.    

     

    Politique de confidentialité unifiée mais non conforme

     

    Le 1er mars 2012, Google a décidé de fusionner en une seule politique les 60 différentes règles de confidentialité applicables à ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.  Le " G29 ", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

     

    Manquements constatés 

     

    Il est principalement reproché à Google :

     

    i) De ne pas suffisamment informer ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.

     

    ii) De ne pas respecter les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.

     

    iii) De ne pas fixer de durées de conservation pour l'ensemble des données qu'elle traite.

     

    iv) De procéder, sans autorisation, à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services (interconnexion et croisement de bases de données personnelles).

     

    Statut de l'adresse IP

     

    La CNIL a rappelé que les identifiants uniques comme l'adresse IP, bien qu'ils n'aient pas de lien direct avec l'identité proprement dite de la personne, permettent à Google d'attribuer à celle-ci l'ensemble des données issues de son utilisation de ses services, qu'elle ait été ou non authentifiée, dans des proportions telles qu'il est impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement.

     

    La qualification de données à caractère personnel peut ainsi s'appliquer non seulement à l'adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d'identifiants uniques, tels que celui du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas du fingerprinting , ou encore l'identifiant généré par un logiciel ou un système d'exploitation.

     

    Les données relatives aux visiteurs de sites tiers sur lesquels la régie publicitaire de Google est présente (et que celle-ci collectera) sont l'adresse IP de l'utilisateur, le nom du site ainsi que l'identifiant unique présent dans le cookie DoubleClick, qui sert à améliorer la pertinence de la publicité affichée. Disposant de cet identifiant cookie et de son adresse IP, la société pourra reconnaître l'utilisateur à l'occasion de visites ultérieures de sites également partenaires de DoubleClick, afin de lui adresser des publicités personnalisées, notamment en fonction de l'analyse de son comportement de navigation.

     

     

    En d'autres termes, l'accumulation de données qu'elle détient sur une seule et même personne lui permet de la singulariser à partir d'un ou de plusieurs éléments qui lui sont propres. Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes.

     

    Faible information des internautes

     

    Comme l’a déjà relevé l'avis n°10/2004 du 25 novembre 2004 du G29, l’information de l’internaute sur la collecte de ses données doit se faire par strate et dissocier deux niveaux d'information : d'une part, les informations de premier niveau, qui sont les plus importantes à connaître pour les personnes ; d'autre part, des informations qui ne présentent vraisemblablement d'intérêt qu'en seconde intention. Ces informations doivent être formulées en un langage simple, direct et sans ambiguïté.

     

    Parmi les informations essentielles de premier niveau figurent, outre l'identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l'information vis-à-vis des personnes concernées.

     

    Faute de définir des finalités déterminées et explicites pour l'ensemble des traitements qu'elle met en œuvre au sens de l'article 6-1°), Google ne respecte pas l'obligation qui lui incombe d'informer ses utilisateurs des finalités des traitements opérés sur leurs données.

     

    Consentement de l'internaute

     

    L’internaute doit également recevoir, préalablement au dépôt et à la lecture de cookies ou de toute autre technologie, une information claire et complète sur les finalités de ceux-ci ainsi que sur les moyens dont il dispose pour s'y opposer, et que son consentement préalable est requis pour que le cookie puisse être déposé.

     

    La CNIL a constaté que le bandeau dont la société Google  affirme qu'il est une pratique du secteur apparaît sur deux de ses services, certes majeurs (Google Search et Youtube), mais qu'il fait défaut sur des services tout aussi importants tels que Google Maps, Google+, Google Drive ou Google Analytics. En outre, l'information fournie sur ce bandeau ne permet pas aux utilisateurs des services de la société d'être informés de manière suffisamment précise des finalités poursuivies par la société quant à l'utilisation des cookies. En effet, celle-ci ne fait mention que du fait que des cookies sont déposés en vue d'assurer le bon fonctionnement des services . L'information ainsi délivrée, par sa généralité, ne peut en tant que telle satisfaire à l'objectif d'information claire et complète des utilisateurs fixé par la loi.

     

    Sanction précédente de Google

     

    A noter qu’il s’agit là de la sanction pécuniaire la plus élevée prononcée jusqu'à présent par la CNIL contre Google.  Une précédente sanction d'un montant de 100 000 € avait été prononcée (délibération n°2011-035 du 17 mars 2011) au titre de la collecte déloyale de données nominatives par les voitures Street View.

     

     

    La CNIL avait alors enjoint à la société de cesser toute collecte de données à l'insu des personnes concernées dans le cadre du traitement Google Street View, s'agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi (adresses, identifiants, mots de passe …). Téléchargez la décision sur Actoba.com 

     

    A Télécharger sur Uplex.fr : 

     

    Licence de Savoir-faire

    Contrat de Design | Produit

    Contrat de cession de marque

    CGV de Site de vente en ligne

    CGU de Blog

     

     







     



  • Sites marchands : quelle déclaration CNIL ?

     

     

    En matière de données personnelles, les sites de e-commerce sont soumis à plusieurs obligations légales mais bénéficient de la déclaration simplifiée CNIL NS 48.

     

    Données dont la collecte est autorisée

     

    Les sites de e-commerce sont autorisés à collecter et traiter les données suivantes :

     

    a) l’identité de l’acheteur : civilité, nom, prénoms, adresse, numéro de téléphone (fixe et/ou mobile), numéro de télécopie, adresses de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client (ce code interne de traitement

    ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), ni le numéro de carte bancaire, ni le numéro d’un titre d’identité). Une copie d’un titre d’identité peut être conservée aux fins de preuve de l’exercice d’un droit d’accès, de rectification ou d’opposition ou pour répondre à une obligation légale ;

     

    b) les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de chèque, numéro de carte bancaire, date de fin de validité de la carte bancaire ;

     

    c) les données relatives à la transaction telles que le numéro de la transaction, le détail de l’achat, de l’abonnement, du bien ou du service souscrit ;

     

    d) la situation familiale, économique et financière: vie maritale, nombre de personnes composant le foyer, nombre et âge du ou des enfant(s) au foyer, profession, domaine d’activité, catégorie socioprofessionnelle, présence d’animaux domestiques ;

     

    e) les données relatives au suivi de la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats et des prestations de services, retour des produits, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande, correspondances avec le client et service après-vente, échanges et commentaires des clients et

    prospects, personne(s) en charge de la relation client ;

     

    f ) les données relatives aux règlements des factures: modalités de règlement, remises consenties, reçus, soldes et impayés n’entrainant pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat. Les informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur) peuvent également être traitées par le commerçant en cas de financement de la commande par crédit ;

     

    g) les données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion ;

     

     

    h) les données relatives à l’organisation et au traitement des jeux concours, de loteries et de

    toute opération promotionnelle telles que la date de participation, les réponses apportées

    aux jeux concours et la nature des lots offerts ;

     

    i) les données relatives aux contributions des personnes qui déposent des avis sur des produits,

    services ou contenus, notamment leur pseudonyme.

     

    Quid des pièces d’identité ?

     

    En cas d’exercice du droit d’accès ou de rectification, les données relatives aux pièces d’identité peuvent être conservées pendant le délai prévu à l’article 9 du code de procédure pénale (soit un an). En cas d’exercice du droit d’opposition, ces données peuvent être archivées pendant le délai de prescription prévu à l’article 8 du code de procédure pénale (soit trois ans).

     

    Source : Actoba.com : Actualités juridiques, Revue bimensuelle (pdf), + 7000 décisions en téléchargement pdf, une + 900 fiches pratiques, les textes officiels …    

     

    Téléchargez vos Modèles de contrats avec Uplex.fr, une Base de données exhaustive, les modèles  proposés sont fiables, rédigés par des Professionnels du droit et couvrent de nombreux secteurs d'activités. Nouveautés :    

     

    Contrat de soutien scolaire

    Contrat de Dame de compagnie

    Contrat de dépôt vente de Livres

    Statuts SARL de Dépôt Vente

    Statuts EURL de Consultant

     

  • Contrôle sur place de la CNIL

     

    Il est acquis qu’en matière de respect de la législation sur les données personnelles par les entreprises, la CNIL dispose d’un pouvoir de contrôle sur place. Les membres de la CNIL et les agents habilités ont accès, de 6 heures à 21 heures aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

    Modalités du contrôle CNIL

     

    Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de la République dans le ressort territorial duquel doit avoir lieu la visite ou la vérification. Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.

     

    La CNIL informe également au plus tard lors de son arrivée sur place le responsable des lieux ou son représentant de l'objet des vérifications qu'elle compte entreprendre, de l'identité et de la qualité des personnes chargées du contrôle ainsi que, le cas échéant, de son droit d'opposition à la visite. Lorsque le responsable du traitement n'est pas présent sur les lieux du contrôle, ces informations sont portées à sa connaissance dans les huit jours suivant le contrôle. Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demande leur ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles. 

    Opposition à la visite de la CNIL

     

    Le responsable de locaux professionnels privés est informé de son droit d'opposition à la visite. Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter (le juge statue dans un délai de quarante-huit heures). L'ordonnance autorisant la visite sur place comporte l'adresse des lieux à visiter, le nom et la qualité du ou des agents habilités à procéder aux opérations de visite et de contrôle ainsi que les heures auxquelles ils sont autorisés à se présenter. L'ordonnance, exécutoire au seul vu de la minute, est notifiée sur place, au moment de la visite, au responsable des lieux ou à son représentant qui en reçoit copie intégrale contre récépissé ou émargement au procès-verbal de visite.

     

    L'acte de notification comporte mention des voies et délais de recours contre l'ordonnance ayant autorisé la visite et contre le déroulement des opérations de vérification. Il mentionne également que le juge ayant autorisé la visite peut être saisi d'une demande de suspension ou d'arrêt de la visite.

     

    En l'absence du responsable des lieux ou de son représentant, l'ordonnance est notifiée, après la visite, par lettre recommandée avec demande d'avis de réception. A défaut de réception de la lettre recommandée, il est procédé à la signification de l'ordonnance par acte d'huissier de justice.

     

    Le juge des libertés et de la détention peut, s'il l'estime utile, se rendre dans les locaux pendant l'intervention. A tout moment, il peut décider la suspension ou l'arrêt de la visite. La saisine du juge des libertés et de la détention aux fins de suspension ou d'arrêt des opérations de visite et de vérification n'a pas d'effet suspensif.

     

    Lorsque l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s'opposer à la visite.

     

    La visite s'effectue sous l'autorité et le contrôle du juge des libertés et de la détention qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées de procéder au contrôle.

     

    L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l'objet, suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la cour d'appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite.

     

    L'ordonnance autorisant la visite peut faire l'objet d'un appel devant le premier président de la cour d'appel suivant les règles prévues par les articles 931 et suivants du code de procédure civile. Cet appel est formé par déclaration remise ou adressée par lettre recommandée avec demande d'avis de réception au greffe de la cour d'appel dans un délai de quinze jours à compter de la notification de l'ordonnance. Cet appel n'est pas suspensif. Le greffe du tribunal de grande instance transmet sans délai le dossier de l'affaire au greffe de la cour d'appel où les parties peuvent le consulter. L'ordonnance du premier président de la cour d'appel est susceptible d'un pourvoi en cassation selon les règles prévues par les articles 974 et suivants du code de procédure civile.

     

    Droit de communication

     

    Les membres de la CNIL et les agents habilités peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Ils peuvent, à la demande du président de la CNIL, être assistés par des experts.  

     

    A noter que seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en oeuvre par un membre d'une profession de santé.

    PV de contrôle  

     

    Il est dressé contradictoirement procès-verbal des vérifications et visites menées par la CNIL.  Le procès-verbal énonce la nature, le jour, l'heure et le lieu des vérifications ou des contrôles effectués. Il indique également l'objet de la mission, les membres de celle-ci présents, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les membres de la mission ainsi que les éventuelles difficultés rencontrées. L'inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie est annexé au procès-verbal.

     

    Nota : lorsque la visite n'a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son déroulement, ainsi que, le cas échéant, les motifs de l'opposition du responsable des lieux ou de son représentant.

     

    Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou par son représentant. En cas de refus ou d'absence de signature, mention en est portée au procès-verbal.

     

    Le procès-verbal est notifié au responsable des lieux et au responsable des traitements par lettre recommandée avec demande d'avis de réception.

     

    Lorsque la visite a lieu avec l'autorisation et sous le contrôle du juge en application du II de l'article 44 de la loi du 6 janvier 1978 susvisée, copie du procès-verbal de la visite lui est adressée par le président de la CNIL.  

     

    Source : Actoba.com : Actualités juridiques, Revue bimensuelle (pdf), + 7000 décisions en téléchargement pdf, une + 900 fiches pratiques, les textes officiels …    

     

    Téléchargez vos Modèles de contrats avec Uplex.fr, une Base de données exhaustive, les modèles  proposés sont fiables, rédigés par des Professionnels du droit et couvrent de nombreux secteurs d'activités. Nouveautés :   

     

    Contrat de commande de photographies

    Contrat de Scénographe

    Contrat de captation audiovisuelle

    Contrat de cession de Spectacle

    Contrat de conception de Site Internet 

    Modèle de Cahier des charges - Site Internet 

     

Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu