Analyse des décisions de la CNIL
Résumés et analyses des décisions publiques de la CNIL, l’autorité française de protection des données. Elles traitent essentiellement du Règlement Général de Protection des Données (RGPD) et de la loi Informatique et Libertés.
Voir aussi : les principales décisions des autres autorités européennes.
Année 2022
-
Un éditeur mis en demeure pour avoir collecté des données personnelles avec le module Google Analytics
Les données collectées étaient envoyées aux États-Unis, pays qui ne garantit pas une protection des données équivalente au RGPD.
Année 2021
-
GOOGLE sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter
Le géant américain récidive en l’absence d’un bouton permettant aux visiteurs de refuser les cookies publicitaires sur ses sites Google.fr et YouTube.com.
-
FACEBOOK sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter
La bannière de consentement du réseau était volontairement ambigüe pour inciter les utilisateurs à accepter les cookies publicitaires.
-
La société SLIMPAY sanctionnée pour n’avoir pas sécurisé les données bancaires de ses clients
L’établissement agréé de paiement en ligne a utilisé les données de ses clients pour des études internes puis les a laissées sur un serveur accessible publiquement. 12 millions de clients sont concernés.
-
L’opérateur FREE MOBILE sanctionné pour n’avoir pas correctement traité les demandes de ses clients relatives à leurs données personnelles
L’opérateur français aux 13 millions d’abonnés a commis des erreurs dans le traitement des demandes de droit ses clients. Il envoyait aussi les mots de passe d’accès à l’espace personnel par courrier papier.
-
La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes
L’éditeur américain spécialisé dans les logiciels de reconnaissance faciale récupérait des milliards d’images sur le Web afin d’alimenter sa base de données.
-
La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés
L’exploitant des transports en commun parisien permettait à de nombreuses personnes de consulter des données sur ses salariés, notamment le nombre de jours de grève, et de les utiliser pour évaluer les salariés.
-
La société FRANCETEST mise en demeure pour n’avoir pas suffisamment sécurisé des données de santé
L’éditeur d’un site Internet de traitement des résultats de tests COVID à destination des pharmaciens n’avait pas pris les mesures nécessaires pour sécuriser les données des patients.
-
Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED)
Le Ministère conservait illicitement les empreintes digitales ainsi que d’autres données personnelles.
-
ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes
L’éditeur ne respectait pas les demandes de suppression des données des internautes sous prétexte que les données était publiquement accessibles.
-
Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes
Le journal en ligne français utilisait des cookies à des fins publicitaires sans le consentement des utilisateurs.
-
La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer
Le spécialiste des produits chimiques agricoles avait réalisé une liste de personnalités dans le but de réaliser des activités de lobbying sur l’utilisation du glyphosate en Europe, mais n’avait pas informé les personnes concernées de ce traitement.
-
L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects
L’assureur ne supprimait pas les données de ses clients et enregistraient les appels téléphoniques avec ses prospects sans les informer.
-
BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité
Le spécialiste de la vente en ligne de matériel de bricolage ne supprimait pas les données de ses clients et prospects, ne protégeait pas sufisamment les données, envoyait des e-mails promotionnels sans le consentement des personnes et utilisait des cookies sans l’accord des internautes.
-
Le Ministère de l’Intérieur rappelé à l’ordre suite à l’enregistrement d’images de la population avec des drones
Le Ministère enregistrait illicitement des images non floutées de la population à l’aide de drones équipés d’objectifs de haute définition.
Année 2020
-
La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires
La société spécialisée dans la livraison de déjeuners d’affaires pour les professionnels envoyait de nombreux e-mails promotionnels sans le consentement des personnes.
-
GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant américain utilisait des cookies publicitaires et marketing sur son site Google.fr sans le consentement des utilisateurs. Des cookies étaient aussi utilisés même si l’internaute s’y oppposait.
-
AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant de la vente en ligne utilisait des cookies publicitaires et marketing sur son site Amazon.fr sans l’accord préalable de ses visiteurs.
-
Un médecin d’un laboratoire d’analyses médicales sanctionné pour n’avoir pas sécurisé les données médicales de ses patients
Les images médicales de ses patients étaient librement accessibles sur Internet, sans aucune protection.
-
La société PERFORMECLIC sanctionnée pour avoir envoyé massivement des e-mails publicitaires sans le consentement des destinataires
La société spécialisée dans l’envoi de prospection commerciale par e-mail avait acheté une base de données d’e-mails et l’utilisait pour réaliser des campagnes publicitaires pour ses clients.
-
CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements
La gestion laborieuse des données personnelles par le géant de la grande distribution, notamment : la conservation illicite de données, le manque de transparence sur les traitements effectués, une sécurité trop faible et une utilisation illicite de cookies.
-
CARREFOUR BANQUE sanctionnée pour avoir traité partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles
La filiale bancaire de Carrefour partagait illicitement des données avec les magasins Carrefour et ne détaillait pas les traitements effectués sur les données de ses clients.
-
Une députée rappelée à l’ordre pour avoir demandé et obtenu des données personnelles sur des lycéens
La députée de l’Assemblée Nationale souhaitait envoyer des courriers de félicitations aux bacheliers.
-
Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens
Le rectorat de l’Éducation nationale avait communiqué des données personnelles des lycéens de son académie à une députée.
-
SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité
Le spécialiste de la vente à distance de chaussures conservait les données sur ses clients sans limite de durée et enregistrait tous les appels téléphoniques de ses salariés.