Catégorie dans ⚖️ Droit du numérique

La CNIL dénonce le fichage de ses auditeurs par Europe 1

En 2016, la Haute Autorité a relevé plusieurs infractions à l’encontre de la radio Europe 1. Cette dernière possède un fichier dont les données relèvent d’informations concernant les auditeurs. Ces informations concernaient des auditeurs souhaitant passer à l’antenne, et étaient recueillies de manière classique. Toutefois, la CNIL dénonce l’ajout de mentions contraires à l’éthique, telles que des précisions sur leur orientation sexuelle ou leur origine. Ces ajouts entrent en contradiction avec la protection des données personnelles puisque des commentaires tels que « accent juif tunisien, insistant et désagréable », « raciste et mal aimable compare très finement les Arabes et les Chinois » sont présents dans le fichier.

Face à cette violation, et cette atteinte manifeste, la CNIL a donné un « avertissement non public » à l’encontre de la station pour des « commentaires excessifs sur les auditeurs d’une radio ». La CNIL relève plusieurs manquements dont « la non-pertinence, non-adéquation et le caractère excessif des données, collecte de données sensibles, non-définition et non-respect d’une durée de conservation des données. ».

Aucune sanction n’a été prononcée par la CNIL à l’encontre de la station. Mais il faut rappeler qu’une violation aux dispositions du règlement général de la protection des données peut engendrer des sanctions pécuniaires pouvant aller jusqu’à 4% du chiffre d’affaire, ou des sanctions non pécuniaires telle qu’un rappel à l’ordre.

La CNIL sanctionne UBER

La société UBER a révélé, fin 2017, qu’une faille de sécurité avait permise à deux individus de dérober les données personnelles de 57 millions d’utilisateurs, dont 1.4 millions situés en France. À la suite de cette révélation, une enquête a été menée par le groupe G29 comprenant toutes les CNIL européennes.

Puis, la formation restreinte de la CNIL s’est réunie. Cette dernière a révélé que cette faille de sécurité aurait pu être évitée, si la société avait mis en place des mesures de sécurité efficaces. Elle dénonce le fait que la société n’ait pas prévu une mesure forte d’authentification à la plateforme Github, et qu’elle n’ait pas prévu un autre moyen de stocker les informations que dans un code source au sein de cette plateforme. Elle dénonce également le fait que la société n’ait pas mis en place un système de filtrage des adresses IP.

Un manquement à son obligation de sécurité des données personnelles a alors été caractérisé. La société aurait du mettre en place une politique de sécurité plus efficiente dans la mesure où elle traite de millions de données, afin de permettre à ses utilisateurs une protection des données efficace.

La CNIL a donc sanctionné UBER d’une amende de 400 000 euros.

Source : cnil.fr

La reconnaissance faciale arrive à Nice

La municipalité de Nice a annoncé le 19 Février 2019 avoir été autorisée par la CNIL à avoir recours à la technologie de la reconnaissance faciale. Cette technologie permet d’authentifier une personne, ou de l’identifier. Cela fait maintenant quelques années que la municipalité travaille sur ce projet, et ce depuis l’installation de caméras de surveillance dans la ville.

Selon la Mairie de Nice, une phase de test avec six caméras est prévue . Cela durerait deux jours, et une poignée de volontaires seront soumis à la reconnaissance faciale sur la voie publique. Afin d’être confronté à la réalité, la Mairie mettra en place des scénarios dans lesquels cette technologie serait utile, notamment dans le cadre de la commission d’une infraction telle qu’une agression.

Après cette phase de test, la CNIL demande qu’un bilan lui soit transmis dans un délai de deux mois. Par ailleurs, la Haute Autorité met en garde la Mairie de Nice et déclare que « cette expérimentation doit reposer sur le consentement « libre » et « éclairé » des personnes volontaires » ; la ville doit donc respecter scrupuleusement le RGPD. Elle déclare également que les « les dispositifs biométriques ne sont plus soumis à autorisation préalable de la CNIL depuis l’entrée en vigueur du RGPD ». Son rôle ne serait donc que consultatif.

Toutefois, ce système voulu par le Maire de Nice, Christian Estrosi, pourrait échapper à la réglementation sur la protection des données personnelles. En effet, le principe de la reconnaissance faciale serait utilisé à des fins de sécurité publique. Cela voudrait donc dire que seul un décret ou une loi pourrait légitimer le recours à ce dispositif. Ce sera donc au gouvernement d’autoriser – ou non – la pratique de cette nouvelle technologie.

Par ailleurs, il faut souligner que la reconnaissance faciale à des fins de sécurité pose des problématiques d’éthique et de protection de la vie privée, cela peut donc porter un grave grief aux individus dont les libertés individuelles se trouvent bafouées.