Cookies sweep day – Céline Avignon décrypte pour le magazine e-commerce mag, l’annonce par la Cnil des contrôles qu’elle fera en septembre sur la mise en oeuvre de ses recommandations par les éditeurs des sites.
L’arrivée des objets connectés, tels les compteurs intelligents, pose de nouveaux défis pour la protection des données
Noms de domaine – Alain Bensoussan est intervenu dans le cadre de la troisième édition du Centr, l’association de registres de noms de domaine européens, lors d’un atelier consacré à l’actualité juridique et réglementaire et à son impact sur la gestion des noms de domaine.
Droit à l’ oubli numérique – Dans le cadre d’une question préjudicielle, la Cour de justice de l’Union européenne
Par une décision en date du 28 janvier 2014, le tribunal de commerce de Paris a condamné Google Inc. pour ne pas avoir donné de suite favorable au droit d’opposition exercé par un commerçant qui souhaitait ne plus voir son nom associé à des termes faisant référence à son passé pénal sur le moteur de recherche Google via l’outil Google Suggest.
Applications mobiles – Le 6 mai 2013, la Cnil a effectué un audit de 250 sites internet et applications mobiles régulièrement fréquentés portant sur l’information délivrée aux internautes. Cet audit a été réalisé dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet », première opération internationale d’audit coordonnée des autorités membres du Global Privacy Enforcement Network (GPEN).
L’« IP tracking » est une pratique consistant pour un site internet à « retenir le nombre de connexions d’un internaute [à son site] via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires » (1).
La Cnil a infligé à Google Inc une amende de 150 000 euros pour plusieurs manquements à la loi Informatique et Libertés, notamment la non conformité de sa politique de confidentialité et la collecte déloyale de données personnelles (1).
La révolution numérique par Alain Bensoussan : la RAO, révolution assistée par ordinateur. Maître Alain Bensoussan met son savoir au service de la formation numérique. Il propose une formation « Informatique et libertés et son impact pour les entreprises en 2014 », disponible depuis le 5 Décembre 2013 sur T-BOOK, une innovation de CILEVEL PARTNERS. T-BOOK : Autoformation à distance avec tutorat, accompagnement interactif et personnalisé par un formateur.
La Cnil a commenté cet été les résultats de l’audit effectué en mai dernier de 250 sites internet régulièrement fréquentés
L’édito de la Lettre juristendance Informatique et libertés est consacré au rapport d’information réalisé par la Commission des affaires européennes sur les enjeux de la révolution numérique en Europe.
Céline Avignon, interrogée par Giulietta Gamberini pour latribune.fr, revient sur les aspects juridiques de l’IP tracking, une technique marketing permettant, grâce à une adresse IP, de retracer le parcours d’un internaute dans un double objectif d’analyse marketing et de relance commerciale. Si l’IP tracking, ou web tracking, est une technique utilisée par les sites de vente en ligne, est-ce pour autant une pratique commerciale légale ? C’est à cette question que se propose de répondre Céline Avignon.
Céline Avignon – IP tracking ou pistage de l’adresse IP. Rarement une pratique marketing aura soulevée autant d’intérêts. En atteste le buzz autour de celle-ci dans le milieu des nouvelles technologies et du marketing. Techniquement, l’IP tracking consiste à analyser le comportement d’un internaute grâce à son adresse IP et à le reconnaitre. Lorsque l’internaute revient sur le site, l’éditeur le reconnaît en temps réel grâce à un cookie qu’il a installé sur son équipement (ordinateur, tablette, portable) et l’affichage dynamique des prix serait modifié dans le but de déclencher plus rapidement l’achat.
Céline Avignon – Quantified self, cet anglicisme lexical traduit une tendance majeure du marketing digital, la raison de ce succès :
Dans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250
Céline Avignon – Le marketing connaissait le CRM, le social CRM voici le VRM. Sous cet acronyme qui signifie
Sommes-nous tous fichés sur Internet ? Maître Alain Bensoussan a participé au premier VebShow : Tous fichés sur Internet ?
Face au développement des nouvelles technologies, la Cnil a souhaité créer, au sein de sa structure, un laboratoire afin de tester et d’expérimenter des produits et applications novatrices (analyses techniques, etc.). La création de ce laboratoire permet ainsi de renforcer la mission de conseil de la Cnil auprès des entreprises en matière de protection des données personnelles. De plus, la direction des études, de l’innovation et de la prospective (DEIP) a été créé en janvier 2011 afin de contribuer à l’identification et à l’analyse des usages innovants des technologies. Deux grandes études prospectives sur les smartphones et la vie privée ont été menées par la DEIP pour l’année 2011. Le bilan de ces études a révélé l’existence de 19 millions de mobinautes en France dont 48% utilisent leur smartphone pour accéder à un réseau social. 74% des personnes interrogées utilisent leur smartphone avant tout à titre personnel. Les problématiques relatives à la protection des données et de la vie privée sont évidentes puisque 30% des personnes déclarent n’avoir aucun code de protection pour verrouiller l’accès à leur smartphone. En outre, ces études mettent clairement en évidence la méconnaissance des utilisateurs du traitement réservé à leurs données personnelles par les opérateurs et éditeurs d’application. Cette ignorance est notamment due à des conditions d’utilisation peu lisibles et au manque de transparence des acteurs dans ce domaine. Au regard des résultats de ces études, la Cnil a élaboré un plan d’action pour l’année 2012 et souhaite ainsi s’engager dans une démarche de développement d’outils et de projets afin de mieux étudier « l’économie cachée des données personnelles » sur smartphone via son laboratoire. La Commission souhaite ainsi recenser les bonnes pratiques des acteurs en termes d’information et de maîtrise des données personnelles par les utilisateurs et prendre en compte la priorité relative à « l’écosystème des smartphones » dans le cadre du programme de contrôle annuel de la Cnil. 32e rapport d’activité 2011
Du bon usage des cookies : statistiques de fréquentation et respect du consentement. La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée en 2009 par la directive 2009/136/CE (1), subordonne dans son article 5, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur au consentement de l’utilisateur. La France a transposé ces dispositions par une ordonnance d’août 2011 (2). L’adoption de ces dispositions au niveau européen a fait l’objet de longs débats. Ces débats se sont et continuent de se poursuivre au niveau national, en raison des incidences et des contraintes que ces dispositions imposent aux acteurs de l’internet et du risque qu’elles créent pour le développement de l’économie numérique. En effet, les professionnels redoutent que la mise en œuvre de ces dispositions nuise fortement à l’activité numérique. Les professionnels, membres de l’UFMD, et certains de leurs partenaires, viennent de gagner une première bataille : celle des cookies d’analyse et de statistiques de la fréquentation de sites. En effet, la Cnil, 15 jours après la publication de ce guide, a modifié sa communication de novembre 2011 sur les cookies pour préciser sa position concernant les cookies d’analyse et de statistiques de fréquentation des sites internet. En effet, si une interprétation stricte de l’article 32 II de la loi Informatique et libertés plaide en faveur d’une application de l’obligation de recueil du consentement pour les cookies d’analyse et de statistiques de fréquentation des sites internet, confirmée d’ailleurs par les premières analyses effectuées par la Cnil, il apparaît que cette dernière semble adopter une position équilibrée, conciliant la protection de la vie privée des utilisateurs et le recours quasi systématique de ce type d’outils sur internet. Dans sa fiche pratique, mise à jour le 28 avril 2012, intitulée « Ce que le « Paquet Télécom » change pour les cookies », la Cnil, en raison de la finalité de ces cookies et du risque limité qu’ils font encourir à la vie privée, a fait part de sa position « de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées ». Cependant, elle soumet cette exemption à certaines conditions particulières en termes d’information, de droit d’accès, de droit d’opposition, de finalité et de durée de conservation. Concernant l’adresse IP, la Cnil précise en outre que « l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville ». Elle doit également être supprimée ou anonymisée, « une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ». Si cette position peut laisser songeur le juriste, en revanche le professionnel de l’internet ne peut que se féliciter de cette position de la Cnil, qui crée un équilibre entre les intérêts en présence. Cependant, il conviendra de surveiller la position du groupe de l’article 29 et des tribunaux, comme l’y invite la Cnil. Affaire à suivre donc… Céline Avignon (1) Directive 2009/136/CE du 25-11-2009 (2) Ordonnance n° 2011-1012 du 24-8-2011
Le ministère de l’éducation nationale a créé le traitement automatisé de données à caractère personnel appelé « Téléservice-absences » qui permet aux parents de collégiens et lycéens, ainsi qu’aux élèves eux-mêmes, de contrôler par internet leurs absences au sein de l’établissement scolaire du second degré dans lequel ils sont inscrits. Ce traitement de données, qui est entièrement facultatif, permet aux élèves de collège et lycée, ainsi qu’à leurs responsables légaux, de consulter grâce à internet les absences considérées comme légitimes. Il concerne notamment les absences dues à des cas de maladie de l’enfant, de maladie transmissible ou contagieuse d’un des membres de la famille de l’élève ou encore à une réunion solennelle de la famille… Téléservice-absences n’a en effet pas pour objectif de lutter contre l’absentéisme scolaire. Ce traitement de données porte sur les nom et prénom, les identifiants et les mots de passe choisis par les élèves et leurs responsables légaux, ainsi que sur la classe et le nombre de demi-journées d’absence légitime des collégiens et lycéens. Les destinataires du traitement sont les élèves, leurs responsables légaux, les enseignants et le chef d’établissement. Un droit d’accès et de rectification est prévu, qui s’exerce auprès du chef d’établissement. Les données collectées ne pourront être conservées que pendant une durée d’un an. Arrêté du 19-1-2012 Cnil, Délibération n° 2011-398 du 8-12-2011
La Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux. Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire. Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction. Les profils publics sur les réseaux sociaux Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées. Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite. Les manquement reprochés Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que : le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ; le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ; le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail. La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement. Cnil, délibération n° 2011-203 du 21-9-2011
Quelles sont les réponses de la Cnil sur l’e-réputation ? L’autorité a publié une liste de questions/réponses sur le sujet.
Le portail Yahoo! a décidé de conserver ses fichiers journaux plus longtemps pour mieux vous servir.
Le portail Yahoo souhaite allonger la durée de rétention des données de connexion (fichiers journaux) collectées de 3 à 18 mois.
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |