Le Groupe Canal+, l’éditeur de chaînes de télévision et fournisseur d’offres de télévision payante, se retrouve sous les feux des projecteurs pour des manquements aux règles de protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL) a récemment rendu son verdict concernant plusieurs plaintes déposées par des individus se plaignant de difficultés à faire valoir leurs droits en matière de protection des données.

À la suite d’enquêtes approfondies, la formation restreinte de la CNIL, chargée de prononcer des sanctions, a conclu que le Groupe Canal+ avait enfreint plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD) ainsi que du Code des Postes et des Communications Électroniques (CPCE). En conséquence, une amende publique de 600 000 euros a été infligée à la société.

L’amende a été calculée en tenant compte de la nature des manquements constatés, mais également de la coopération de la société avec la CNIL et des mesures qu’elle a prises pour se conformer aux règles tout au long de la procédure.

Parmi les manquements relevés figure l’absence de consentement valide des personnes pour la prospection commerciale par voie électronique. Le Groupe Canal+ effectue régulièrement des campagnes de prospection, mais n’a pas pu démontrer qu’il avait obtenu un consentement approprié des destinataires de ces communications. Les formulaires utilisés ne fournissaient pas d’informations sur l’identité des destinataires, ce qui est nécessaire pour garantir un consentement éclairé.

En outre, des manquements à l’obligation d’informer les personnes, le respect de l’exercice de leurs droits, ainsi que des obligations concernant les modalités d’exercice des droits ont également été relevés. La société a omis de répondre à certaines demandes dans les délais requis par la loi, et un contrat de sous-traitance ne respectait pas toutes les exigences du RGPD.

Un autre aspect de l’infraction concerne la sécurité des données personnelles. Le Groupe Canal+ n’a pas suffisamment sécurisé le stockage des mots de passe de ses employés, ce qui constitue une violation de l’obligation de protection des données.

Enfin, la CNIL a constaté l’existence d’une violation de données qui a exposé certaines informations d’abonnés à d’autres abonnés pendant cinq heures. Cette violation n’a pas été notifiée à la CNIL, enfreignant ainsi l’obligation de notification des violations de données prévue par le RGPD.

Cette décision de la CNIL souligne l’importance cruciale du respect des règles de protection des données et de la nécessité pour les entreprises de s’assurer qu’elles sont en conformité avec ces réglementations. Le Groupe Canal+ devra maintenant mettre en place des mesures correctives pour se conformer aux exigences légales et garantir la protection des données de ses abonnés.

En synthèse, nous vous recommandons …

• d’obtenir un consentement explicite : Si vous collectez des données personnelles pour des activités de prospection commerciale par voie électronique, assurez-vous d’obtenir un consentement clair et explicite des prospects. Fournissez des informations complètes sur les potentiels destinataires des données collectées et sur le type de communications qu’ils recevront.
• de respecter les droits des individus : Soyez diligent dans le respect des droits des personnes en ce qui concerne leurs données personnelles. Répondez rapidement et de manière appropriée aux demandes d’accès, de rectification ou de suppression de données.
• d’être transparent : Informez clairement les individus sur la manière dont vous collectez, stockez et utilisez leurs données personnelles, en respectant les dispositions du RGPD.
• d’assurer la sécurité des données : Mettez en place des mesures de sécurité adéquates pour protéger les données personnelles que vous détenez. Cela inclut le stockage sécurisé des informations sensibles, comme les mots de passe.
• de notifier les violations de données : Si une violation de données survient, signalez-la à l’autorité de protection des données compétente dans les délais prescrits par la loi. La notification précoce peut contribuer à réduire les conséquences potentielles de la violation.

Consultez ici le communiqué de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros 

L’intelligence artificielle (IA) offre un potentiel considérable dans divers domaines de l’économie et de la société, mais son développement doit être équilibré avec la protection des libertés individuelles. La CNIL se mobilise pour accompagner les acteurs de l’IA tout en garantissant la protection des données personnelles.

L’entraînement des algorithmes d’IA nécessite souvent l’utilisation de données personnelles, ce qui soulève des préoccupations en matière de confidentialité. Dans certains cas, les applications de ces algorithmes peuvent mettre en péril les droits des individus, par exemple en favorisant la création de fausses informations, en automatisant les processus de décision ou en permettant une surveillance accrue.

Pour relever ces nouveaux défis, la CNIL promeut une approche d’innovation responsable qui intègre les dernières avancées en matière d’IA tout en préservant les droits des individus.

En janvier 2023, la CNIL a créé un service dédié à l’IA, et au printemps, elle a lancé un plan d’action visant à clarifier les règles et à soutenir l’innovation dans ce domaine. Elle a également lancé deux programmes d’accompagnement pour les acteurs français, y compris un bac à sable pour des projets d’IA au service des services publics et un programme d’accompagnement renforcé pour des entreprises innovantes de taille intermédiaire.

Face aux demandes des principaux acteurs français de l’IA, la CNIL reconnaît le besoin de sécurité juridique. Elle a également lancé un appel à contributions sur la constitution de bases de données pour alimenter sa réflexion.

La CNIL a publié une première série de fiches pratiques sur l’utilisation de l’IA respectueuse des données personnelles pour lesquelles elle clarifie que les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte définis par le RGPD n’entravent pas la recherche ou les applications en IA tant que certaines lignes directrices et conditions sont respectées.

La CNIL souligne que la finalité de l’utilisation des données doit être précisément définie. Le principe de minimisation n’empêche pas l’utilisation de grandes bases de données, mais exige la sélection soignée des données pour optimiser l’entraînement des algorithmes. La durée de conservation des données d’entraînement peut être longue si elle est justifiée, et la réutilisation de jeux de données est possible, sous réserve de certaines conditions.

La CNIL insiste sur la compatibilité de l’IA avec la protection de la vie privée et estime que cette approche permettra le développement d’outils et d’applications éthiques et conformes aux valeurs européennes, établissant ainsi la confiance des citoyens dans ces technologies.

Consultez ici le communiqué de la CNIL : Intelligence artificielle : la CNIL dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée

Récemment, les services de la Commission européenne ont officiellement sollicité des informations de la part de X, la grande plateforme en ligne anciennement Twitter, en vertu du règlement sur les services numériques (DSA pour « Digital Services Act »). Cette demande fait suite à des indications selon lesquelles des contenus illicites et des informations erronées se propagent sur cette plateforme, y compris du contenu à caractère terroriste et violent, ainsi que des discours haineux. La demande englobe également la conformité aux autres dispositions du DSA.

Depuis sa désignation en tant que « très grande plateforme en ligne » à la fin août 2023, X doit se conformer à toutes les exigences du DSA. Cela inclut l’évaluation et la réduction des risques liés à la diffusion de contenus illicites, de désinformation, de violence à caractère sexiste, ainsi que les effets potentiels sur les droits fondamentaux, les droits de l’enfant, la sécurité publique et le bien-être mental.

La Commission enquête sur le respect de X au DSA, y compris ses politiques de signalement de contenus illicites, le traitement des plaintes, l’évaluation des risques et les mesures prises pour atténuer ces risques. La Commission peut demander des informations supplémentaires à X pour garantir le respect du droit.

X devra fournir les informations requises à la Commission concernant le protocole de crise de la plateforme pour d’autres questions. La Commission prendra des mesures en fonction des réponses de X, y compris l’ouverture d’une procédure officielle en vertu de l’article 66 du DSA.

En vertu de l’article 74 §2 du DSA, la Commission peut imposer des amendes en cas de fourniture d’informations inexactes, incomplètes ou trompeuses en réponse à une simple demande d’informations. Si X ne répond pas, la Commission peut exiger la fourniture d’informations par décision. Le non-respect des délais pourrait entraîner des astreintes (limitées à 5% du chiffre d’affaires quotidien).

Pour rappel, le DSA, garant de la liberté d’expression et des droits des utilisateurs, est essentiel dans la stratégie numérique de l’UE. Il établit en effet des normes de responsabilité sans précédent pour les plateformes en ce qui concerne la diffusion d’éléments de désinformation et de contenus illicites comme les discours haineux. Ces démarches, contrôles et enquêtes devraient se multiplier, affaires à suivre…

Consultez ici le communiqué de presse de la Commission européenne : Demande d’informations à X par la Commission europénne

Cet été, le site lcb-ft.fr s’est fait le relai d’une actualité de la CNIL qui n’a pas qui n’a pas fait la Une malgré l’enjeu important, il nous semblait donc pertinent de reparler de ce sujet ! Le traitement des données à des fins de Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme (LCB-FT) est un sujet complexe qui soulève des questions sur la protection des données personnelles. Récemment, le Conseil de l’Europe a publié des lignes directrices visant à éclaircir ce domaine sensible.

Les entités assujetties à la réglementation LCB-FT, qu’elles soient des institutions étatiques, des services répressifs, des autorités judiciaires ou des acteurs privés, collectent et enregistrent de nombreuses données à caractère personnel dans le cadre de leurs obligations de connaissance de la clientèle, de surveillance des opérations et d’application de mesures restrictives.

Bien que la collecte de ces données soit justifiée par des obligations règlementaires dans l’intérêt public, elle doit également respecter les obligations de protection des données. Les lignes directrices du Conseil de l’Europe cherchent à équilibrer ces deux impératifs qui semblent parfois contradictoires.

La Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel, également connue sous le nom de “Convention 108+” vise à intégrer aux obligations réglementaires en matière de LCB-FT, les principes et exigences formulées par le RGPD.

Les grandes lignes de ces lignes directrices rappellent que la collecte de données à des fins de LCB-FT doit se limiter à un intérêt public strictement défini et éviter une collecte excessive. Les directives abordent également la question d’un registre national des bénéficiaires effectifs, récemment débattu.

Les directives soulignent l’importance de respecter les principes fondamentaux de la protection des données, notamment la collecte explicite et déterminée, le consentement des personnes concernées, la loyauté et la transparence du traitement, la minimisation des données, l’exactitude des données, la limitation de la conservation en termes de quantité et de temps, ainsi que les exigences de sécurité et de confidentialité.

Ces directives fournissent des recommandations précieuses pour guider les entités assujetties à la LCB-FT dans la gestion des données, en mettant l’accent sur le respect des principes de protection des données tout en se conformant aux exigences de la LCB-FT. D’autant plus que les réglementations ne sont pas antinomiques, elles peuvent être vues comme complémentaires en permettant de rationaliser les processus et réduire les coûts liés au traitement de données inutiles.

Consultez ici le communiqué de presse du Conseil de l’UE : Lignes Directrices sur la protection des données personnelles dans le traitement des données personnelles en matière de LCB-FT

Le 10 juillet dernier, la Commission européenne a pris une décision cruciale concernant les transferts de données vers les États-Unis. Cette décision d’adéquation déclare que les États-Unis assurent désormais un niveau de protection des données personnelles substantiellement équivalent à celui de l’Union européenne. Cela signifie que, sous certaines conditions, les transferts de données personnelles depuis l’UE vers les États-Unis peuvent se faire sans exigences supplémentaires.

Pour rappel, la précédente décision d’adéquation pour les États-Unis avait été invalidée en 2020 par la Cour de justice de l’Union européenne dans l’affaire Schrems II. La Cour avait estimé que les protections existantes n’étaient pas suffisantes, notamment en ce qui concerne l’accès des autorités américaines aux données personnelles.

En réponse, le gouvernement américain a renforcé les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement. Ce nouveau cadre a été soumis à l’évaluation de la Commission européenne.

Ce nouveau cadre pour les transferts de données UE-États-Unis repose sur des règles strictes visant à limiter l’accès aux données personnelles par les autorités de renseignement américaines. Il inclut un système d’auto-certification pour les entités américaines qui s’engagent à respecter ces règles.

Avec cette décision d’adéquation, les organismes soumis au RGPD peuvent désormais transférer des données vers des organismes certifiés aux États-Unis sans devoir mettre en place des outils de transfert spécifiques. Cependant, ils doivent s’assurer que l’organisme destinataire figure sur la liste des entités certifiées sur la Liste du Département du Commerce.

Si l’organisme destinataire aux États-Unis n’est pas certifié, des garanties appropriées supplémentaires doivent être mises en place. Cela peut se faire en utilisant des clauses contractuelles types ou d’autres outils prévus par le RGPD.

Les administrations et les collectivités locales peuvent également se baser sur cette décision d’adéquation pour leurs transferts de données vers des prestataires américains certifiés. Cependant, elles doivent respecter les mêmes règles de protection des données qu’explicitées ci-dessus.

La décision d’adéquation est entrée en vigueur le 10 juillet 2023. Elle restera en place jusqu’à ce qu’une modification, un remplacement ou une abrogation soit décidé par la Commission européenne, si le niveau de protection des données n’est plus jugé adéquat. Une première révision aura lieu dans un an, suivie de révisions périodiques.

Cette nouvelle décision d’adéquation ouvre la voie à des transferts de données plus fluides entre l’UE et les États-Unis en légalisant ce contexte transatlantique complexe. Cependant, malgré ces adaptations apportées au système américain de protection des données, beaucoup estiment ces nouvelles mesures inadaptées, permettant aux entreprises de contourner les exigences européennes de protection des données personnelles.

C’est pourquoi plusieurs associations et collectifs de protection des données s’attaquent déjà à cette décision afin de la faire invalider par la Cour de Justice de l’Union Européenne. Affaire à suivre …

Consultez ici le communiqué de presse de la CNIL : Adéquation des États-Unis : les premières questions-réponses