LIL * Art. 4, 89, 97, 99 et 104
MINISTERE DE L’INTERIEUR – FAED FICHIER DES EMPREINTES DIGITALES
Le 8 janvier 2024, la CNIL décidait de clôturer son injonction du 24 septembre 2021 à l’encontre du Ministère de l’Intérieur, considérant qu’il s’y était conformé malgré le retard de près de 2 ans pris après l’échéance du 31 octobre 2021 fixée par la CNIL.
Sur la licéité du traitement, la CNIL prenait acte de la réforme à venir du décret du 8 avril 1987 encadrant le FAED, réforme qui viendra élargir le champ d’informations que le Ministère de l’Intérieur pourra désormais inclure dans le traitement de données, à savoir, les nom et prénom de la victime, les immatriculation, marque et type du véhicule sur lequel l’empreinte digitale/palmaire ou sa trace aura pu être prélevée.
Par ailleurs, la CNIL prenait acte de l’effacement de l’ensemble des fiches de signalisation papier au 24 avril 2023, de même qu’elle s’en rapportait aux mesures et engagements de mise en conformité pris par le Ministère de l’Intérieur concernant:
– la durée de conservation, l’effacement et/ou la rectification des données inexactes inscrites au FAED
– la garantie d’un niveau de sécurité adapté au risque encouru dans les modalités d’accès au FAED (carte-agent + code PIN)
Enfin, pour ce qui concerne les mesures prises pour informer les personnes signalisées quant à leurs droits d’accès, de rectification, de limitation et d’effacement (sous condition d’autorisation du Procureur) des données inscrites au FAED, la CNIL prenait acte de la diffusion d’une instruction de la DGPN — en date du 30 mai 2023 — enjoignant l’ensemble de ses services à apposer une affiche dans tous les lieux accessibles au public — et particulièrement dans les lieux privatifs de liberté — reprenant l’essentiel de ces droits, et renvoyant pour le surplus et le détail, à la consultation de la rubrique “Protection des données” du site internet “www.interieur.gouv.fr“.
La CNIL relevait qu’il n’existait aucune rubrique “Protection des données” mais malgré tout, la CNIL considérait qu’il y avait bien conformité en décidant de s’en rapporter … à nouveau … aux engagements pris par le Ministère de l’Intérieur de mettre en adéquation les mentions de l’affiche d’information avec les mentions du site internet.
Fermez le ban!
Inapplicabilité du RGPD * Article 3 RGPD
AFFAIRE LUSHA – NON LIEU A SANCTION
Dans sa délibération du 20 décembre 2022, la formation restreinte a considéré qu’il n’y avait pas lieu de prononcer une sanction à l’encontre de la société dès lors que les éléments versés au dossier ne permettaient pas d’établir que le RGPD était applicable à l’extension Lusha [dans la mesure où] :
– la société ne dispos[ait] d’aucun établissement dans l’Union européenne, de sorte que le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD ne lui est pas applicable;
– l’extension Lusha n’est pas liée à une offre de biens ou de services aux personnes concernées, [de sorte que] le critère relatif à l’offre de biens ou de services aux personnes concernées prévu au paragraphe 2, a) du même article n’est pas non plus applicable;
– il n’était pas établi que les personnes concernées font bien l’objet d’un suivi de comportement par la société qui n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique [de sorte que] le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, n’est pas non plus applicable à la société.
LIL * Art. 4, 89, 97, 99 et 104
MINISTERE DE L’INTERIEUR – FAED FICHIER DES EMPREINTES DIGITALES
La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED) — aka le fichier de police judiciaire d’identification n’étant censé inclure que les empreintes digitales des personnes mises en cause dans le cadre de procédures pénales ou administratives (gardes à vue, rétention administrative d’un étranger en situation irrégulière…) — et notamment, pour n’avoir fourni aux personnes concernées mis en cause aucune information quant à leurs droits – droits d’accès, de rectification, d’effacement, de limitation du traitement de données les concernant – en conservant plusieurs années — au-delà même de 25 années pour certaines fiches — après l’expiration du délai légal — qui peut n’être que de six mois par exemple dans le cas d’une vérification d’identité sans suites judiciaires — un volume important de données — plus de 2 millions de fiches FAED illicites — relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite, en conservant par ailleurs des données supplémentaires de l’enquête pénale (nom de la victime, le numéro d’immatriculation d’un véhicule…)
ne devant pas figurer au FAED, en conservant, pour finir, les données pendant une durée excédant largement la durée légale. La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED, ce qui aggrave d’autant plus les risques de fuite d’informations et d’atteinte à la vie privée concernant des mis en cause précedemment placés en garde à vue et qui auraient obtenu notamment par la suite un avis de classement sans suite, une relaxe, ou un non-lieu à poursuites. Un rappel à l’ordre et une injonction de mettre en conformité avant le 31 octobre 2021 avec les obligations prévues par le RGPD les traitements de données concernés (FAED...) étaient prononcés par la CNIL à l’encontre du Ministère de l’Intérieur.
RGPD * Articles 16, 17, 30 et 31
ANNUAIREFRANCAIS.FR – Communiqué CNIL
La CNIL rappelle que les données présentes et publiées dans un annuaire professionnel (en l’espèce le site web annuairefrancais.fr) concernant des entreprises qui y sont référencées à partir de données publiques extraites de la base du répertoire SIRENE – où figurent les nom(s), prénom(s) et adresse(s) de personnes physiques exerçant à titre individuel: autoentrepreneurs, professions libérales… – présentent le caractère de “données à caractère personnel”, ouvrant de fait aux personnes physiques concernées, l’exercice de l’ensemble des droits qui leur sont offerts par le RGPD, en ce, notamment, le droit de voir rectifier ou effacer les données collectées.
CNIL * Délibération SAN-2021-014 du 15 septembre 2021 * 3000 euros d’amende
LE FIGARO.FR – Communiqué CNIL
La CNIL considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE DU FIGARO – de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté.
CNIL * Délibération SAN-2021-013 du 27 juillet 2021 * 50.000 euros d’amende
MONSANTO – Communiqué CNIL
La CNIL considère que MONSANTO ne remplit pas les conditions exonératoires visées à l’article 14(5)(b) du RGPD autorisant exceptionnellement l’absence de toute information des personnes concernées (impossibilité, efforts disproportionnés, obstacle grave à la réalisation des objectifs du traitement), même si celles-ci pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement, d’autant que ces données étaient publiques. La CNIL ajoute par ailleurs que le fait que MONSANTO n’ait pas encadré par un acte juridique le traitement réalisé pour son compte (art. 28), a sensiblement réduit la protection des données des personnes ciblées.
CNIL *Délibération SAN-2021-012 du 26 juillet 2021 * 400.000 euros d’amende