CNIL : quel bilan pour 2018 ?
L’entrée en vigueur du RGPD le 25 mai 2018 a sensibilisé le public aux enjeux de protection des données à caractère personnel et a causé une augmentation des interventions de la CNIL, que ce soit par la voie d’enquêtes, de sanctions, mais également d’un accompagnement pédagogique des entreprises et organismes public.
Brexit : quelles conséquences en matière de protection des données personnelles ?
Dans l’éventualité d’une sortie du Royaume-Uni de l’Union européenne sans accord concernant le RGPD, les personnes transférant des données vers ce pays devront mettre en œuvre des outils garantissant un niveau de protection suffisant pour le 30 mars 2019.
L’hébergeur n’est pas un responsable de traitement
L’hébergeur d’un site Internet ne peut être qualifié de responsable du traitement des données à caractère personnel au sens du RGPD, de sorte qu’il ne lui incombe pas d’effectuer une quelconque démarche relative à l’exploitation des dits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via les dits sites internet.
LIL 4 : Nouvelles donnes pour la CNIL
L’ordonnance du 12 décembre 2018, qui modifie la loi Informatiques et libertés (LIL4), entrera en vigueur au plus tard le 1er juin 2019018, consolide l'évolution des missions et renforce les pouvoirs de la CNIL.
Pour une libre circulation des données à caractère non personnel
Un règlement européen a été adopté en marge du cadre juridique relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, afin de faciliter le flux des données à caractère non personnel sur le marché intérieur.
Sanction de 400.000 euros contre UBER pour manquement à la sécurité des données
La formation restreinte de la CNIL a estimé que la cyber-attaque subie par UBER aurait pu être évitée si elle avait mis en place certaines mesures élémentaires en matière de sécurité.
Condamnation de Bouygues Telecom pour manquement à la sécurité des données
Bouygues Telecom a été condamnée à une amende de 250.000 euros pour non-respect de la loi Informatique et Libertés à raison d’un incident de sécurité rendant librement accessibles les données personnelles de ses clients B&You.
Mise en conformité des contrats de la commande publique au RGPD
Le formulaire de déclaration de sous-traitance proposé aux soumissionnaires/titulaires de marchés a été actualisé par le Ministère de l’Economie et des Finances afin de le rendre conforme au Règlement général sur la protection des données à caractère personnel.
Analyse d’impact : publication de la liste des traitements concernés
Conformément aux exigences du Règlement général sur la protection des données, la CNIL a élaboré une liste des traitements de données à caractère personnel pour lesquels elle estime nécessaire qu’une analyse d’impact soit réalisée.
Mise en demeure de cinq assureurs pour détournement de la finalité du traitement des données des assurés
Les sociétés des groupes HUMANIS et MALAKOFF-MEDERIC ont été mises en demeure publiquement par la CNIL de cesser d’utiliser les données personnelles des assurés, en principe collectées pour répondre exclusivement à la mission d’intérêt général de paiement des allocations retraite, à des fins de prospection commerciale.
Mise en demeure pour ciblage publicitaire non consenti par le biais de données de géolocalisation
La CNIL a mis publiquement en demeure la société SINGLESPOT de cesser le traitement à des fins de ciblage publicitaire de données de géolocalisation obtenues grâce à des applications mobiles éditées par des sociétés partenaires, sans avoir préalablement recueilli le consentement des personnes concernées.
Adoption de deux référentiels de certification concernant le DPO
La CNIL a adopté un référentiel de certification des compétences du délégué à la protection des données (DPO), ainsi qu’un référentiel d’agrément, qui fixe les critères applicables aux organismes qui souhaitent être habilités pour certifier les DPO.