Actualité des missions de contrôle de la CNIL

25 Septembre 2018 : la Commission Nationale Informatique et Liberté (CNIL) a mis en demeure les sociétés des groupes Humanis et Malakoff-Médéric pour détournement de finalité du fichier des assurés. En effet, la CNIL, à l’occasion de contrôles effectués en février et mars 2018, avait constaté que ces 2 groupes, intervenant dans tous les domaines de la protection sociale, utilisaient leurs fichiers de bénéficiaires pour effectuer du démarchage commercial. La loi Informatique et Libertés (LIL), comme le Règlement Général sur la Protection des Données (RGPD), prohibent ces pratiques puisqu’ils exigent formellement qu’une base de données ne soit exploitée que dans le cadre de l’objet qui a été défini lors de sa création. Il s’agit du principe de finalité qui impose que les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». La CNIL a laissé un mois aux deux groupes pour se mettre en conformité.

8 novembre 2018 : La CNIL a épinglé l’Ecole 42, formation en informatique gratuite fondée par Xavier Niel, ouverte à tous, accessible aux 18-30 ans et fonctionnant sur le principe du peer-to-peer learning. L’autorité de contrôle a noté, lors de contrôles réalisés en février 2018, que le système de vidéo-surveillance mis en place était particulièrement intrusif et excessif. En effet, selon la Commission, « des caméras filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie tels que la cafétéria. En outre, les personnes filmées n’étaient pas correctement informées. Par ailleurs, la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel ». L’école dispose d’un délai de deux mois pour se mettre en conformité en cessant de filmer en permanence les salles de cours et les lieux de vie. Par ailleurs, l’accès aux images devra être limité à des personnes habilitées et l’école devra être en mesure de fournir « une information complète et immédiate à toute personne susceptible d’être filmée par le dispositif ».

9 novembre 2018 : Vectaury, start-up spécialisée dans le ciblage publicitaire via des applications mobiles, a été mises en demeure par la CNIL en raison de manquements lors du recueil du consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais d’applications mobiles. Plus précisément, la CNIL reproche à Vectaury un manque de transparence et notamment de n’avoir pas expliqué clairement aux utilisateurs des applications le but de la collecte de ces données : « Les informations données à l’utilisateur n’expliquent pas que ses données seront utilisées pour ce système d’enchères en temps réel, ni qu’elles seront ensuite conservées en vue de la définition d’un profil commercial ». Concrètement, la technologie permettant le recueil de données personnelles destinées à des campagnes marketing et la réalisation des campagnes publicitaires sur mobile n’a pas été accompagnée d’une application rigoureuse de la réglementation relative à la protection des données personnelles et au recueil du consentement libre et éclairé de la personne. La CNIL a accordé un délai de 3 mois à Vectaury pour se mettre en conformité.

CNIL