Les actus du vendredi : Les décisions CNIL

Cette semaine, retour sur les décisions marquantes de la CNIL :

1)      Le nouveau réseau social en vogue « ClubHouse », sous la loupe de la CNIL

Le 17 mars 2021, l’autorité de contrôle a été saisie d’une plainte à l’encontre de la société américaine Alpha Exploration CO., Inc., éditrice de l’application « ClubHouse ». La CNIL a alors décidé d’ouvrir une enquête afin de vérifier sa conformité au RGPD.

Club House est un réseau social disponible uniquement sur Iphone et sur invitation, permettant à ses utilisateurs de discuter entre eux de vive voix et en direct, dans des « rooms ».

A l’aube de ses premières vérifications, la CNIL a constaté que la société ne dispose d’aucun établissement dans l’Union européenne mais qu’elle vise des utilisateurs européens. C’est pourquoi la Commission française est compétente pour vérifier la conformité du réseau social, tout comme ses homologues européens.

Alors qu’une pétition comportant déjà 10 000 signatures circule concernant les potentielles atteintes à la vie privée de l’application, s’il s’avère que « ClubHouse » ne respecte pas les obligations du RGPD, la CNIL pourra sanctionner cette dernière d’une amende pouvant s'élever à 20 millions d'euros ou 4% du chiffre d'affaire annuel mondial de ClubHouse.

En outre, en Allemagne, une association de protection des droits des consommateurs a assigné devant la justice allemande l’application, pour ses manquements en matière de protection des données et au manque d’information des utilisateurs sur les conditions d’utilisation de l’application.

 « ClubHouse » était pointé du doigt car l’application avait accès aux données du carnet de contact de l’utilisateur sans que ce dernier ne soit au courant. Alors que le fondateur, Paul Davinson, a affirmé que cet accès aux données détaillées des répertoires n’était plus possible, un hacker (à chapeau blanc) a alerté sur l’accès illégal aux enregistrements des conversations échangées sur l’application. En effet, les discussions ne sont plus censées être disponibles une fois terminées. Pourtant elles sont conservées sur le serveur de l’entreprise américaine, pour des questions de modérations, sans en informer au préalable l’utilisateur.

Entre la violation de l’obligation d’informations, le manquement aux mesures de sécurité, les atteintes aux données personnelles ainsi que le transfert des données vers des serveurs localisés aux États-Unis, cette application est actuellement au cœur de nombreuses préoccupations juridiques. Affaire à suivre !

 

2)     La carte d’identité se fait une nouvelle beauté

Le décret paru au Journal Officiel le 14 mars 2021, annonce le lancement de la nouvelle carte nationale d’identité électronique  (CNIe). Poursuivant un objectif d’interopérabilité au sein de l’Union européenne, la CNIe se veut beaucoup plus sécurisée et sécurisante. Et pour cause, elle contiendra une puce électronique dans laquelle seront stockées des données personnelles et notamment des données biométriques. Il sera question d’informations tels que le nom, les prénoms, la date et le lieu de naissance, le sexe, la taille, la nationalité, l'adresse et la date de délivrance de la carte. Il y aura également sous un format numérique la photo d'identité du porteur ainsi que les empreintes de deux de ses doigts.

Le décret assure que toutes ces données seront stockées de manière sécurisée  par les autorités. En effet, la photographie et les empreintes digitales appartiennent à la base de données du « TES », fichier des titres électroniques sécurisés.

Néanmoins, alors que cette nouvelle carte d’identité permettrait d’assurer l’authenticité de l’identité du porteur, la CNIL a rendu en février dernier un avis mitigé sur ce document.

La Commission reste méfiante et, souhaitant maximiser la sécurisation des données, “invite le ministère ainsi que l'Agence nationale des titres sécurisés à poursuivre leurs travaux afin d'étudier la possibilité de conserver la photographie des empreintes digitales sous la forme d'un gabarit”.

De plus, afin de protéger la vie privée des citoyens :

-       elle recommande que la clé de chiffrement des données soit confiée à un tiers, plutôt qu’au ministère de l'Intérieur

-       elle souhaite que le temps de conservation des données biométriques soit inférieur à 15 ans, comme arrêté par le décret (en Allemagne et en Belgique, la durée est limitée à 90 jours dans la base de données centrale)

-       elle favorise une base de données décentralisée, contenant les empreintes digitales,  afin de circonscrire une éventuelle fuite à une seule base

-       elle est réticente à l’interconnexion élargie entre les bases TES et DOCVERIF (certifie la validité des titres d'identité), craignant que DOCVERIF ne devienne une base de données miroir de TES, alors que ses traitements poursuivent des finalités différentes

A terme, le Gouvernement souhaite que la carte d’identité permette aux citoyens français de se connecter à des services administratifs en ligne, et notamment au système d'identification FranceConnect.

3)     Lancement de la FAQ cookies par la CNIL

En octobre dernier, la CNIL avait donné 6 mois aux entreprises, soit jusqu’au 1er avril 2021 pour que ces dernières mettent en conformité leurs sites internet et applications, avec les nouvelles obligations relatives aux dépôts de cookies et à la publicité ciblée.

Ainsi, à quelques jours de la fin de ce délai, la Commission ouvre une foire aux questions, afin de répondre à toutes les interrogations concernant ses lignes directrices et sa recommandation en matière de cookies et autres traceurs.

Au programme :

-          l’articulation entre les deux textes  

-          la typologie de traceurs visés par les obligations

-          le recueil de consentement et les modalités de refus

-          la sanction en cas de non-respect

-          le projet de règlement européen « e-Privacy »

Attention, à partir du 1er avril 2021, le gendarme des données personnelles, n’hésitera pas à sanctionner !

Vous n’êtes toujours pas en conformité ? Ne ratez surtout pas notre offre exceptionnelle qui vous permettra d’éviter toute sanction de la CNIL !

Pour en savoir plus sur les cookies et le ciblage publicitaire, retrouvez notre infographie sur les bonnes pratiques à adopter en matière de recueil de consentement.

De plus, si vous souhaitez connaître les outils de conformité existants sur le marché en matière de gestion de cookies, écoutez notre podcast avec Axeptio, le gestionnaire de cookies français, ludique et fiable.

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr

Source

Enquête de la CNIL sur l’application “ClubHouse”

Article, “La CNIL enquête sur les données personnelles conservées par Clubhouse, le réseau social audio”, Le Monde, 17 mars 2021

Délibération n° 2021-022 du 11 février 2021 portant avis sur un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité

La CNIL retoque (encore) le méga-fichier biométrique des « gens honnêtes »

FAQ de la CNIL

Précédent
Précédent

Fichier de prospection : Comment les vendre et/ou les acquérir conformément au RGPD ?

Suivant
Suivant

Les actus du vendredi : Les contrôles CNIL