Le 8 janvier 2024, la CNIL décidait de clôturer son injonction du 24 septembre 2021 à l’encontre du Ministère de l’Intérieur, considérant qu’il s’y était conformé malgré le retard de près de 2 ans pris après l’échéance du 31 octobre 2021 fixée par la CNIL.
Sur la licéité du traitement, la CNIL prenait acte de la réforme à venir du décret du 8 avril 1987 encadrant le FAED, réforme qui viendra élargir le champ d’informations que le Ministère de l’Intérieur pourra désormais inclure dans le traitement de données, à savoir, les nom et prénom de la victime, les immatriculation, marque et type du véhicule sur lequel l’empreinte digitale/palmaire ou sa trace aura pu être prélevée.
Par ailleurs, la CNIL prenait acte de l’effacement de l’ensemble des fiches de signalisation papier au 24 avril 2023, de même qu’elle s’en rapportait aux mesures et engagements de mise en conformité pris par le Ministère de l’Intérieur concernant:
– la durée de conservation, l’effacement et/ou la rectification des données inexactes inscrites au FAED
– la garantie d’un niveau de sécurité adapté au risque encouru dans les modalités d’accès au FAED (carte-agent + code PIN)
Enfin, pour ce qui concerne les mesures prises pour informer les personnes signalisées quant à leurs droits d’accès, de rectification, de limitation et d’effacement (sous condition d’autorisation du Procureur) des données inscrites au FAED, la CNIL prenait acte de la diffusion d’une instruction de la DGPN — en date du 30 mai 2023 — enjoignant l’ensemble de ses services à apposer une affiche dans tous les lieux accessibles au public — et particulièrement dans les lieux privatifs de liberté — reprenant l’essentiel de ces droits, et renvoyant pour le surplus et le détail, à la consultation de la rubrique “Protection des données” du site internet “www.interieur.gouv.fr“.
La CNIL relevait qu’il n’existait aucune rubrique “Protection des données” mais malgré tout, la CNIL considérait qu’il y avait bien conformité en décidant de s’en rapporter … à nouveau … aux engagements pris par le Ministère de l’Intérieur de mettre en adéquation les mentions de l’affiche d’information avec les mentions du site internet.
Fermez le ban!
La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED) — aka le fichier de police judiciaire d’identification n’étant censé inclure que les empreintes digitales des personnes mises en cause dans le cadre de procédures pénales ou administratives (gardes à vue, rétention administrative d’un étranger en situation irrégulière…) et notamment:
– pour n’avoir fourni aux personnes concernées mis en cause aucune information quant à leurs droits – droits d’accès, de rectification, d’effacement, de limitation du traitement de données les concernant
– pour avoir conservé plusieurs années après l’expiration du délai légal –– qui peut n’être que de six mois par exemple dans le cas d’une vérification d’identité sans suites judiciaires — un volume important de données — plus de 2 millions de fiches FAED illicites — relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite
– pour avoir conservé par ailleurs des données supplémentaires de l’enquête pénale — nom de la victime, le numéro d’immatriculation d’un véhicule…– ne devant pas figurer au FAED
– pour avoir conservé, pour finir, lesdites données pendant une durée excédant largement la durée légale.
La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED, ce qui aggrave d’autant plus les risques de fuite d’informations et d’atteinte à la vie privée concernant des mis en cause précedemment placés en garde à vue et qui auraient obtenu notamment par la suite un avis de classement sans suite, une relaxe, ou un non-lieu à poursuites.
Un rappel à l’ordre et une injonction de mettre en conformité avant le 31 octobre 2021 avec les obligations prévues par le RGPD les traitements de données concernés (FAED...) étaient prononcés par la CNIL à l’encontre du Ministère de l’Intérieur.
Add-on LUSHA pour LINKEDIN | Applications mobiles “aspirateurs de contacts” & Suivi du comportement
La CNIL décide que LUSHA SYSTEMS Inc. n’est pas soumise au RGPD … contre l’avis de son Rapporteur
Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha [dans la mesure où] :
– la société ne dispos[ait] d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;
– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, [de sorte que] le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable;
– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique [de sorte que] le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.
L’autorité de contrôle Irlandaise, en sa qualité d’Autorité de Contrôle chef de file, a rendu une décision AirBnB (IN-21-3-1 -14 septembre 2022) sanctionnant AirBnB pour avoir manqué au principe de minimisation des données en conditionnant l’exercice du droit à l’effacement d’un requérant, à la communication obligatoire et préalable de sa carte d’identité; cette décision OSS (One Stop Shop) n’a rencontré aucune objection dirimante de la part des autres autorités de contrôle concernées de l’Union.
Un résident berlinois a déposé plainte à l’encontre d’AirBnB devant le BBDI (autorité de contrôle allemande compétente dans le ressort de Berlin) pour violation de son droit à l’effacement (art. 17 RGPD) et violation de son droit d’accès aux DCP qu’AirBnB était censé traiter (ou avoir traité dans un passé récent) (art. 13 RGPD).
Pour donner suite à sa demande d’effacement formulée par e-mail, AirBnB a exigé de sa part qu’il lui communique copie de sa Carte d’Identité Nationale (avec photographie), en s’appuyant sur les termes de sa « procédure de vérification d’identité » visée à sa page « Help Center », mais aussi, compte tenu des « doutes raisonnables » qu’il estimait avoir sur l’identité du requérant (art. 12 (6) RGPD).
Face au refus du requérant de satisfaire à cette demande de production de carte d’identité, AirBnB a alors proposé à celui-ci, mais dans un second temps, une méthode d’identification alternative, à savoir, tout simplement, de se connecter à son compte AirBnB.
Sur la base légale du traitement et la preuve des « doutes raisonnables » (art. 12(6) du RGPD), l’autorité de contrôle irlandaise a considéré, notamment:
– Que le fait de conditionner une demande d’exercice de droits d’accès aux fins d’effacement des DCP (article 17 RGPD) à la communication obligatoire et préalable de la copie d’une carte d’identité avec photographie du titulaire, constitue bien une « collecte de données » et par suite, un « traitement » quand bien même aucune pièce d’identité n’aurait été communiquée.
– qu’alors même qu’en effet, AirBnB disposait « d’un intérêt légitime » à se prémunir contre toute tentative de suppression frauduleuse de compte, AirBnB n’a pas été en mesure de démontrer que sa demande de CNI avec photographie était formellement « nécessaire » ou « proportionnée », sachant qu’il disposait, en outre, d’autres méthodes de vérification alternatives moins attentatoires dont il a d’ailleurs fait usage par la suite.
– que par ailleurs AirBnB n’avait pas suffisamment établi les « doutes raisonnables » visés à l’article 12(6) du RGPD qui auraient éventuellement pu justifier, dans un second temps, sa demande de production de CNI.
Irland Data Protection Commission * AirBnB * IN-21-3-1 -14 septembre 2022