Informatique et libertés

Actualités, Informatique et libertés, Secteur internet

La Cnil sanctionne la collecte des données des profils publics sur les réseaux sociaux

/

La Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux. Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire. Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction. Les profils publics sur les réseaux sociaux Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées. Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite. Les manquement reprochés Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que : le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ; le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ; le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail. La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement. Cnil, délibération n° 2011-203 du 21-9-2011

identité numérique
Droits des personnes, Informatique et libertés

Espace Schengen : la liberté de circulation des personnes garantie

/

La Commission européenne a adopté deux propositions législatives, en vue d’instaurer « un système d’évaluation et de suivi renforcé destiné à vérifier et à assurer l’application des règles de Schengen, ainsi qu’un mécanisme décisionnel européen plus structuré en cas de menace grave pour l’ordre public ou la sécurité intérieure ».

Les atteintes aux systèmes
Articles, Informatique et libertés, Publication, Sécurité, Sécurité des SI, Télécom

Vers la notification des failles de sécurité ?

/

L’actualité en 2011 a fait l’objet de nombreuses illustrations sur la notification des failles de sécurité et de piratages informatiques. Les derniers en date concernent le vol des données personnelles de plus d’un million de comptes clients du groupe de jeux Sega et du géant de l’électronique Sony en exploitant des failles de sécurité pour s’introduire dans les serveurs de leur site Internet. Les attaques visent non seulement les systèmes d’information des entreprises, mais également ceux de l’Etat. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information de l’Elysée, du Quai d’Orsay ou du ministère de l’Economie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions. A tel point qu’un projet d’ordonnance gouvernementale prévoit d’instaurer une nouvelle obligation pour les entreprises fournissant des services de communications électroniques. Ces dernières auraient l’obligation de notifier à la Cnil toute « violation des données à caractère personnel », ainsi qu’à l’abonné s’il en résulte un préjudice. La notification des failles à l’abonné ne serait pas nécessaire si la Cnil valide les mesures de protection technologiques mises en œuvre par le fournisseur pour remédier à la violation et constate que ces mesures ont été appliquées aux données concernées. Ce texte doit être adopté au plus tard le 21 septembre 2011. Alain Bensoussan pour Micro Hebdo, le 21 juillet 2011

Retour en haut