Analyse des décisions de la CNIL
Résumés et analyses des décisions publiques de la CNIL, l’autorité française de protection des données. Elles traitent essentiellement du Règlement Général de Protection des Données (RGPD) et de la loi Informatique et Libertés.
Voir aussi : les principales décisions des autres autorités.
Année 2023
-
La société CRITEO sanctionnée pour avoir collecté et analysé les faits et gestes des internautes sans leur consentement
Le spécialiste de la publicité ciblée collectait illégalement, depuis plusieurs années, des données grâces à de nombreux sites partenaires.
Année 2022
-
TIKTOK sanctionné pour n’avoir pas permis de refuser facilement les cookies sur TIKTOK.COM
La plateforme de vidéos proposait uniquement d’accepter les cookies en un clic et utilisait des termes vagues pour décrire leurs finalités.
-
L’éditeur de jeux VOODOO sanctionné pour avoir collecté des données à des fins publicitaires sans le consentement des personnes
Les jeux pour téléphones Apple édités par la société collectait des données techniques à des fins publicitaires même si les personnes s’y opposaient
-
APPLE sanctionné pour avoir utilisé des traceurs publicitaires dans les iPhone et iPad sans le consentement des personnes
La personnalisation des publicitées au sein de l’App Store était activée par défaut dans iOS 14.6, sans informer les utilisateurs lors de l’initialisation de l’appareil.
-
MICROSOFT sanctionné pour avoir utilisé des cookies publicitaires sur le site BING.COM sans le consentement des visiteurs
Un cookie multi-finalités étaient déposé dès le chargement de la page et les modalités de refus de ces cookies n’étaient pas claires.
-
EDF sanctionné pour l’envoi d’e-mails de prospection, un manque de transparence et des manquements de sécurité
Le premier fournisseur d’électricité français envoyait des e-mails sans le consentement des personnes, communiquait des informations vagues et imprécises, et stockait des mots de passe sans mesures adaptées.
-
L’opérateur FREE sanctionné pour de nombreux manquements de sécurité et pour n’avoir pas respecté les droits de ses clients
L’opérateur français ne stockait et transmettait les mots de passe de ses clients sans chiffrement, ne traitaient pas des demandes de suppression de données et ne souhaitaient communiqué la source des données traitées.
-
Le groupement des greffes des Tribunaux de commerce INFOGREFFE sanctionné pour n’avoir pas correctement sécurisé les données des utilisateurs du site INFOGREFFE.FR
Les mots de passe des 3,7 millions d’utilisateurs étaient stockés et transmis en clair. Les données des utilisateurs inactifs n’était pas supprimées.
-
Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité
La CNIL a finalement été contraint d’infliger une amende au groupe hotelier français, suite à une procédure du Comité européen à son encontre initiée par la Commission polonaise.
-
La société d’auto-partage d’EUROPCAR, Ubeeqo, sanctionnée pour avoir collecté la position GPS des véhicules loués
La localisation des voitures louées était enregistrée en quasi-permanence et conservée pendant au moins trois ans.
-
Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes
Les données des personnes étaient collectées sans possibilité de s’opposer à la prospection, les appels téléphoniques étaient enregistres sans fournir une information adaptée et les droits de nombreuses personnes n’étaient pas respectés.
-
L’éditeur DEDALUS sanctionné pour n’avoir pas correctement sécurisé des données personnelles et médicales
Les manquements de sécurité du spécialiste des logiciels pour laboratoires d’analyses médicales ont conduit à la divulgation des données personnelles et médicales de près de 500 000 personnes.
-
Un éditeur mis en demeure pour avoir collecté des données personnelles avec le module Google Analytics
Les données collectées étaient envoyées aux États-Unis, pays qui ne garantit pas une protection des données équivalente au RGPD.
Année 2021
-
GOOGLE sanctionné pour n’avoir pas permis de refuser facilement les cookies sur les sites GOOGLE.FR et YOUTUBE.COM
Le géant américain récidive en l’absence d’un bouton permettant aux visiteurs de refuser les cookies publicitaires
-
FACEBOOK sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter
La bannière de consentement du réseau était volontairement ambigüe pour inciter les utilisateurs à accepter les cookies publicitaires.
-
La société SLIMPAY sanctionnée pour n’avoir pas sécurisé les données bancaires de ses clients
L’établissement agréé de paiement en ligne a utilisé les données de ses clients pour des études internes puis les a laissées sur un serveur accessible publiquement. 12 millions de clients sont concernés.
-
L’opérateur FREE MOBILE sanctionné pour n’avoir pas correctement traité les demandes de ses clients relatives à leurs données personnelles
L’opérateur français aux 13 millions d’abonnés a commis des erreurs dans le traitement des demandes de droit ses clients. Il envoyait aussi les mots de passe d’accès à l’espace personnel par courrier papier.
-
La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes
L’éditeur américain spécialisé dans les logiciels de reconnaissance faciale récupérait des milliards d’images sur le Web afin d’alimenter sa base de données.
-
La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés
L’exploitant des transports en commun parisien permettait à de nombreuses personnes de consulter des données sur ses salariés, notamment le nombre de jours de grève, et de les utiliser pour évaluer les salariés.
-
La société FRANCETEST mise en demeure pour n’avoir pas suffisamment sécurisé des données de santé
L’éditeur d’un site Internet de traitement des résultats de tests COVID à destination des pharmaciens n’avait pas pris les mesures nécessaires pour sécuriser les données des patients.
-
Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED)
Le Ministère conservait illicitement les empreintes digitales ainsi que d’autres données personnelles.
-
ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes
L’éditeur ne respectait pas les demandes de suppression des données des internautes sous prétexte que les données était publiquement accessibles.
-
Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes
Le site LEFIGARO.FR utilisait des cookies à des fins publicitaires sans le consentement des utilisateurs.
-
La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer
Le spécialiste des produits chimiques agricoles avait réalisé une liste de personnalités dans le but de réaliser des activités de lobbying sur l’utilisation du glyphosate en Europe, mais n’avait pas informé les personnes concernées de ce traitement.
-
L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects
L’assureur ne supprimait pas les données de ses clients et enregistraient les appels téléphoniques avec ses prospects sans les informer.
-
BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité
Le spécialiste de la vente en ligne de matériel de bricolage ne supprimait pas les données de ses clients et prospects, ne protégeait pas sufisamment les données, envoyait des e-mails promotionnels sans le consentement des personnes et utilisait des cookies sans l’accord des internautes.
-
Le Ministère de l’Intérieur rappelé à l’ordre suite à l’enregistrement d’images de la population avec des drones
Le Ministère enregistrait illicitement des images non floutées de la population à l’aide de drones équipés d’objectifs de haute définition.
-
L’opticien OPTICAL CENTER sanctionné pour n’avoir pas correctement sécurisé son site OPTICAL-CENTER.FR
Les vulnérabilités présentes sur son site Internet ont conduit à la divulgation des données personnelles de près de 200 000 clients de la société.
Année 2020
-
La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires
La société spécialisée dans la livraison de déjeuners d’affaires pour les professionnels envoyait de nombreux e-mails pour faire la promotion de son site NESTORPARIS.COM et de ses services.
-
GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant américain utilisait des cookies publicitaires et marketing sur son site GOOGLE.FR sans le consentement des utilisateurs. Des cookies étaient aussi utilisés même si l’internaute s’y oppposait.
-
AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant de la vente en ligne utilisait des cookies publicitaires et marketing sur son site AMAZON.FR sans l’accord préalable de ses visiteurs.
-
Un chirurgien orthopédiste sanctionné pour n’avoir pas sécurisé les données médicales de ses patients
Les images médicales de ses patients étaient librement accessibles sur Internet, sans aucune protection.
-
La société PERFORMECLIC sanctionnée pour avoir envoyé massivement des e-mails publicitaires sans le consentement des destinataires
La société spécialisée dans l’envoi de prospection commerciale par e-mail avait acheté une base de données d’e-mails et l’utilisait pour réaliser des campagnes publicitaires pour ses clients.
-
CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements
La gestion laborieuse des données par le géant de la grande distribution, notamment : conservation illicite de données, manque de transparence, sécurité trop faible et utilisation illicite de cookies sur CARREFOUR.FR.
-
CARREFOUR BANQUE sanctionnée pour avoir partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles
La filiale bancaire de Carrefour partagait avec les magasins Carrefour les données des clients et ne détaillait pas les traitements effectués.
-
Une députée rappelée à l’ordre pour avoir traité illicitement les données personnelles des lycéens de sa circonscription
La députée de l’Assemblée Nationale souhaitait avait demandé au rectorat de son académie de lui envoyer la liste des bacheliers pour leur envoyer des courriers de félicitations.
-
Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens
Le rectorat de l’Éducation nationale avait communiqué des données personnelles des lycéens de son académie à une députée.
-
SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité
Le spécialiste de la vente à distance de chaussures conservait les données sur ses clients sans limite de durée et enregistrait tous les appels téléphoniques de ses salariés.
Année 2019
-
La société FUTURA INTERNATIONALE sanctionnée pour avoir réalisé une prospection commerciale par téléphone sans respecter les droits et données des personnes
La société spécialisée dans la rénovation énergétique ne prenait pas en compte les demandes d’opposition, conservait des données insultantes sur les prospects, transférait les données vers des divers pays et ne cooporait que très peu avec la CNIL.
-
Le courtier en assurances ACTIVE ASSURANCES sanctionné pour n’avoir pas sécurisé l’accès aux contrats de ses clients sur son site ACTIVEASSURANCES.FR
Les contrats et documents administratifs de plus de 100 000 clients étaient publiquement accessibles sur Internet de 2014 à 2019.
-
L’agence de traduction UNIONTRAD COMPANY sanctionnée pour avoir enregistré en permanence ses salariés avec des caméras de vidéosurveillance
La société filmait ses salariés en permanence de 2013 à 2019, sans justification valable.
-
L’agence immobilière SERGIC sanctionnée pour ne pas avoir restreint l’accès aux documents personnels des postulants aux locations
Les documents administratifs de 29 440 personnes qui candidataient pour des locations sur SERGIC.COM étaient publiquement accessibles.
-
GOOGLE sanctionné pour n’avoir pas correctement informé les utilisateurs d’appareils Android
Les informations fournies aux utilisateurs ne leur permettaient pas de comprendre les nombreux traitements réalisés par Google
Année 2018
-
L’opérateur BOUYGUES TELECOM sanctionné pour n’avoir pas sécurisé l’accès aux contrats de ses clients sur son site BOUYGUESTELECOM.FR
Les contrats de plus de 2 millions de clients étaient publiquement accessibles sur le site de la société pendant plus de deux ans.
-
UBER sanctionné pour n’avoir pas correctement sécurisé l’accès aux données de ses clients et chauffeurs
Des attaquants ont réussi à dérober les données de 57 millions d’utilisateurs de la plateforme de VTC en profitant des négligences de la société en matière de sécurité.
-
L’opticien OPTICAL CENTER sanctionné pour n’avoir pas restreint l’accès aux factures et bons de commande sur son site OPTICAL-CENTER.FR
Un manque de sécurité de son site Internet permettait d’accéder publiquement et simplement à plus de 300 000 factures et bons de commandes de la société.
Année 2015
-
L’opticien OPTICAL CENTER sanctionné pour n’avoir pas correctement sécurisé les mots de passe de ses clients et salariés
Les mots de passe des clients du site OPTICAL-CENTER.FR étaient transmis sans chiffrement, la politique des mots de passe des salariés était inexistante et l’accès aux systèmes de l’entreprise n’était pas protégé par une authentification forte.
-
Les magasins BOULANGER mis en demeure suite à l’utilisation d’une centaine de cookies publicitaires sur son site BOULANGER.COM sans le consentement des visiteurs
Les magasins spécialisés dans le multimédia et l’électroménager déposait les cookies dès l’arrivée de l’internaute sur BOULANGER.COM et se contenait d’une information sommaire.
Année 2011
-
Les PAGES JAUNES averties pour avoir collecté sur les réseaux sociaux des données et diffusé ces données sur son site PAGESJAUNES.FR
Des données personnelles sur 25 millions de personnes étaient collectées et diffusées sans informer les personnes.