I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   Rapporto 2023-05-31 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96866' · pdf

Cnil: rapporto e sanzioni principali

abstract:



Bellissima pubblicazione. Straordinariamente bella e ben strutturata. Ecco la rassegna delle decisioni piu' rilevanti.




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

............. ......... ............, .. ......... ............. . ........ ...... .. ........

.. .... ........

.. .. ..... .. ... ... ........... ... .......

...... ....' .'...........:

  • ........... . ........... ...... ............. . ........
  • ..... ...... ... .. ........ ..... ........

.... .. ..... ....
....... ...................
.. ....... ................... .... .... ......... ........
......... .... ..... .. ...........
... ........... .. ...................... .. ......-
..... ........... ...., .... ........... ..
.......... .... ............... ...........................
... ....... .......... .. ........-
.......... ...... ... ... ....-.........
............. ...., ... ..................... .... ..... ...
......... .. .... .. ..... .............. ...
................. .. .............. ............. .......




index:

Indice

  • ................. .. .............. ....
  • D’utiliser la reconnaissance facia
  • De « guichet unique »
  • L’administration fiscale
  • Catégories de données qu&r



testo:

R

Retour sur les principales sanctions prononcées en 2022

  • Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de ClearView AI
  • Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de DEDALUS BIOLOGIE
  • La Cnil poursuit sarégulation des acteurs du numérique en matière de Cookies contro Microsoft, Apple, TikTok e Voodoo

144 sanzioni restano "altre" con poche informazinoi.

  • Ces mises en demeure ont concerné des secteurs et des problématiques très variés. Ainsi, outre l’obligation pour les communes de désigner un DPO, les mises en demeure ont notamment concerné la prospection commerciale (transmission de données personnelles d’une société à une autre sans recueil du consentement des personnes), le trans- fert des données vers les États-Unis (par le biais de l’outil Google Analytics) ou encore les mesures de sécurité de sites web.

Avviata una procedura sanzionatoria semplificata

La giurisprudenza:

LA JURISPRUDENCE RELATIVE
À LA PROTECTION DES DONNÉES
PERSONNELLES EN 2022
Plusieurs juridictions peuvent rendre des
décisions qui permettent de préciser un
point de droit relatif à la protection des
données personnelles : l’ensemble de
ces décisions constitue la jurisprudence.
La Cnil revient sur les principales dé-
cisions nationales et européennes en la
matière pour l’année 2022.


> 20 janvier 2022
Conseil constitutionnel
Le Conseil constitutionnel juge que l’in-
terdiction explicite d’utiliser des techno-
logies de reconnaissance faciale sur des
images captées par des drones ne peut
être interprétée comme une autorisation
d’utiliser la reconnaissance faciale sur
des images captées avec d’autres tech-
nologies que les drones.


> 28 janvier 2022
Conseil d’État
Le Conseil d’État confirme la compé-
tence de la Cnil à prendre des sanctions
sur les cookies en dehors du mécanisme
de « guichet unique » prévu par le RGPD
et confirme les amendes d’un total 100
millions d’euros prononcée par la CNIL
contre Google.


> 22 février 2022
Cour de justice de l’Union
européenne (CJUE)
LA CJUE confirme que la collecte par
l’administration fiscale d’un État membre
auprès d’une plateforme en ligne, d’infor-
mations impliquant une quantité impor-
tante de données personnelles, doit res-
pecter le RGPD.


> 22 mars 2022
CJUE
Sous réserve de certaines conditions,
une personne morale qui commet une
infraction au droit de la concurrence
de l’Union européenne peut faire l’objet,
pour les mêmes faits, d’une amende
et d’une décision distinctes pour non-
respect d’une réglementation sectorielle.


> 26 avril 2022
Conseil d’État
Le Conseil d’État pose deux principes à
respecter sous peine de manquements
aux obligations de sécurité du traite-
ment. D’une part, tout responsable de
traitement doit contrôler régulièrement
les mesures techniques et organisa-
tionnelles prises par son sous-traitant.
D’autre part, une société doit avoir une
politique de mots de passe adaptée aux
catégories de données qu’elle traite.


> 26 avril 2022
Conseil d’État
Le Conseil d’État valide la fonctionnalité
de reconnaissance faciale du traitement
d’antécédents judiciaires (TAJ), fichier
commun à la police et à la gendarmerie
nationale, mais impose des conditions
strictes à son utilisation (seulement en
cas de nécessité absolue, avec des obli-
gations de traçabilité, un suivi par un
magistrat désigné par le ministère de la
Justice et soumise au contrôle de la CNIL,
etc.).


> 27 juin 2022
Conseil d’État
Le Conseil d’État confirme la sanction de
35 millions d’euros prononcée par la CNIL
à l’encontre d’Amazon en 2020. La socié-
té déposait des Cookies sur les ordina-
teurs d’utilisateurs sans consentement
préalable ni information satisfaisante.


> 12 juillet 2022
Cour de cassation
La Cour de cassation tire les consé-
quences des décisions rendues par la
Cour de justice de l’Union européenne
relatives à la conservation des données
de connexion et à l’accès à celles-ci dans
le cadre de procédures pénales. En pra-
tique, la France ne peut plus imposer aux
opérateurs et fournisseurs d’accès Inter-
net une conservation généralisée et in-
différenciée des données de connexion.
Elle se conforme ainsi au droit de l’Union
européenne.


> 22 juillet 2022
Conseil d’État
Lorsque la Cnil a informé un responsable
du traitement d’une violation de données
personnelles et engagé un contrôle, ce
responsable de traitement n’est pas obli-
gé de notifier l’autorité de cette violation.


> 1er août 2022
CJUE
Pour la CJUE, les déclarations d’intérêts
publiées en ligne peuvent comporter
des données personnelles susceptibles
de permettre de déduire l’orientation
sexuelle d’une personne. Ces données
doivent donc faire l’objet d’une protection
renforcée.


> 27 octobre 2022
CJUE
Le responsable du traitement de don-
nées personnelles doit mettre en œuvre
des mesures techniques et organisa-
tionnelles appropriées pour informer les
autres responsables du traitement, qui lui
ont fourni ces données ou auxquels il a
transmis de telles données, du retrait du
consentement de la personne concernée.
Lorsque différents responsables du trai-
tement se fondent sur le consentement
unique de la personne concernée, il suffit
que celle-ci s’adresse à l’un des respon-
sables pour retirer son consentement
auprès de tous les responsables en lien
avec celui-ci.


> 21 octobre 2022
Conseil d’État
En cas de manquements aux règles in-
ternes applicables à tous les salariés
d’une entreprise, le salarié exerçant les
fonctions de délégué à la protection des
données peut faire l’objet de sanctions.
Celles-ci ne doivent cependant pas être
incompatibles avec son indépendance
fonctionnelle que lui garantit le RGPD.


> 15 novembre 2022
Conseil d’État
Il est obligatoire de recueillir le consen-
tement du patient concerné avant tout
échange d’informations couvertes par le
secret médical entre professionnels de
santé ne faisant pas partie d’une même
équipe de soins.

LE CONTENTIEUX
DE LA CNIL
Lorsque la Cnil prononce une mesure
correctrice, l’organisme concerné a
la possibilité de la contester devant le
Conseil d’État dans un délai indiqué
dans la décision : il s’agit d’un recours
contentieux. En 2022, 35 recours ont été
communiqués à la CNIL. 22 sont dirigés
contre des décisions de la présidente
de la Cnil de procéder à la clôture de
plaintes (+ 15 vs. 2021).
Par ailleurs, 2 recours ont été introduits
à l’encontre de décisions rendues par
la Cnil en matière répressive : un vi-
sant une délibération de sanction de la
formation restreinte (organe de la CNIL
chargé de prononcer les sanctions) et un
autre dirigé contre une décision de mise
en demeure de la présidente de la CNIL.
Pour 11 autres recours, la Cnil était sol-
licitée en qualité d’observateur, dans le
cadre de recours introduits principale-
ment à l’encontre de textes du gouver-
nement.
La Cnil a produit 27 mémoires (c’est-à-
dire ses arguments), dont 25 en tant que
défendeur et 2 comme observateur. Sur
les 7 décisions rendues par le Conseil
d’État en 2022 en lien avec le traite-
ment des plaintes, toutes ont confirmé
le bien-fondé des suites apportées par la
CNIL dans le cadre de leur instruction.
Portée de l’obligation
de notification d’une
violation de données
à l’autorité de contrôle


Décision du Conseil d’État
du 22 juillet 2022


La sanction de la CNIL
En septembre 2019, après avoir pris
connaissance, par l’intermédiaire d’un
site web grand public, de l’existence de
nombreuses images médicales (IRM,
scanners) en libre accès sur des ser-
veurs informatiques, la Cnil a diligenté
un contrôle en ligne, permettant d’iden-
tifier l’origine de cette fuite de données.
Les constations faites par la Cnil ont
été notifiées au docteur à l’origine de la
violation et une procédure de sanction a
ensuite été engagée à son encontre. Elle
a abouti au prononcé d’une amende de
3 000 euros, en décembre 2020, pour des
manquements liés à la sécurité des don-
nées (article 32 du RGPD) et au défaut de
notification de la violation de données à
la Cnil (article 33 du RGPD). Le docteur
en cause a contesté cette décision de-
vant le Conseil d’État.


La décision du Conseil d’État
Dans sa décision du 22 juillet 2022, le
Conseil d’État a partiellement réformé
la décision de la CNIL, en considérant
qu’un manquement à l’article 33 du
RGPD n’aurait pas dû être retenu dans la
mesure où cet article « ne s’impose pas
au responsable du traitement dans le
cas où la Cnil l’a elle-même informé de
cette violation et a engagé son contrôle
sur la base des informations portées à
sa connaissance par ailleurs ». L’un des
deux manquements constatés n’étant
pas constitué, le Conseil d’État a réduit
le montant de la sanction à 2 500 €.
Cookies : application
de la loi française
à un acteur étranger


Décision du Conseil d’État
du 27 juin 2022
La sanction de la CNIL
Le 7 décembre 2020, la Cnil avait pro-
noncé une amende d’un montant de 35
millions d’euros à l’encontre de la socié-
té AMAZON EUROPE CORE, notamment
pour avoir déposé des Cookies publici-
taires sur les ordinateurs d’utilisateurs
du site de vente « Amazon.fr » sans
consentement préalable ni information
satisfaisante (infractions à l’article 82 de
la loi Informatique et Libertés, transpo-
sant en droit français la directive euro-
péenne ePrivacy).


La décision du Conseil d’État
Dans la lignée de sa décision du 28 jan-
vier 2022 concernant Google, le Conseil
d’État a confirmé la compétence de la
CNIL à prendre des sanctions sur les
cookies en dehors du mécanisme de
guichet unique prévu par le RGPD, même
dans le cas où le responsable de traite-
ment n’est pas en établi en France, mais
qu’il dispose sur le territoire français
d’un établissement impliqué dans les
activités liées au traitement effectué (ici
la promotion et la commercialisation
d’outils publicitaires par la société Ama-
zon Online France).
Sur le fond, le Conseil d’État confirme les
deux violations à l’article 82 de la loi In-
formatique et Libertés sanctionnées par
la CNIL.


Enfin, il estime que le montant de
l’amende prononcé par la Cnil n’est pas
disproportionné au regard de la gravité
des manquements, de la portée des trai-
tements et de la capacité financière de
la société.
Dans sa décision du 27 juin 2022, le
Conseil d’État a donc confirmé la sanc-
tion de 35 millions d’euros prononcée
par la Cnil à l’encontre d’Amazon en
2020.

Testo del 2023-05-31




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Cnil: rapporto e sanzioni principali e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza