IP/IT et Communication | Protection des données

Le 15 février 2021, la présidente de la CNIL a clôturé la procédure de mise en demeure visant EDF pour son traitement des données de consommation d’électricité collectées dans le cadre des compteurs communicants LINKY. Le nouveau parcourt de consentement mis en place par la société et sa politique de conservation des données de connexion sont désormais conformes au RGPD.

Dans ses lignes directrices publiées fin janvier, le Conseil de l’Europe préconise un encadrement strict de l’utilisation des technologies de reconnaissance faciale. Il se prononce également pour l’interdiction de certaines applications.

Le 28 janvier sera célébré le 40^e anniversaire de la Convention 108 au cours de la Journée de la Protection des données. L’occasion pour nous de revenir sur les échanges qui ont eu lieu lors de la 15^e Université des DPO, organisée par l’AFCDP, qui ont permis de dresser un bilan plutôt mitigé sur la place du RGPD dans une société de plus en plus numérique.

Conformément aux récentes décisions rendues par le Conseil d’État, la CNIL estime que l’utilisation de drones par les services de police et de gendarmerie constitue un traitement de données à caractère personnel qui doit être encadré par une disposition législative ou réglementaire.

En l’absence d’encadrement législatif, le dispositif de surveillance par drone transmettant, même après floutage, des images à la préfecture de police de Paris pour un visionnage en temps réel, constitue un traitement illégal de données à caractère personnel.

Par deux décisions rendues en décembre, la CNIL a sanctionné deux sociétés pour avoir adressé des courriels de prospection commerciale sans information ni consentement préalable. Les décisions sont notables en ce qu’elles se fondent également sur le code des postes et des communications électroniques.

Par deux délibérations rendues le 7 décembre 2020, la CNIL a infligé une amende de 100 millions d’euros à Google pour son moteur de recherche Google Search et de 35 millions d’euros à Amazon pour son site web Amazon.fr concernant les traceurs déposés sur le terminal de leurs utilisateurs.

Le 18 novembre 2020, la CNIL a sévèrement sanctionné deux sociétés du groupe Carrefour, pour de nombreuses violations du droit des données personnelles, ayant pourtant constaté la mise en conformité sur les écarts relevés lors du prononcé de la sanction ; signe que l’ère de tolérance accordée par la CNIL est bel et bien révolue.

Le 30 octobre 2020, l’ICO a condamné le géant américain de l’hôtellerie, le groupe Marriott, à une lourde sanction pécuniaire de 18,4 millions de livres sterling, en raison d’une violation de données de grande ampleur consécutive à des failles avérées de son système informatique. L’occasion de rappeler l’enjeu capital que constitue le respect des exigences de sécurité par le responsable de traitement, conformément aux dispositions de l’article 32 du RGPD.

Le président de la CNIL peut directement saisir la formation restreinte en vue du prononcé d’une ou plusieurs sanctions sans mettre en demeure au préalable le responsable de traitement ou son sous-traitant, y compris lorsque le manquement est susceptible d’être régularisé dans le cadre d’une mise en demeure.