Modification des recommandations de la CNIL relatives aux mots de passe

modifications des recommandations de la CNIL concernant les mots de passe

Par une délibération du 22 juin 2017, la CNIL a modifié ses recommandations relatives aux mots de passe comme moyens d’authentification. En janvier de cette année, la Commission avait adopté une première recommandation qui disposait que : « S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé. « La commission […]

Droit d’accès des héritiers aux données : une possibilité (très) limitée

Les héritiers ont la possibilité d'accéder aux données (droit d'accès) d'un défaut lorsqu'il y a une procédure de réparation de préjudice

Dans un arrêt du 7 juin 2017, la plus haute juridiction administrative a estimé que les héritiers avaient la possibilité d’accéder aux données personnelles d’un défunt, sous certaines conditions.  Une personne avait demandé à la MAIF d’accéder aux données concernant sa mère, laquelle était décédée. Estimant que l’entreprise n’avait pas répondu à sa demande, la personne a alors adressé une plainte auprès de la CNIL, plainte à laquelle la commission n’a pas donné suite au motif que le droit d’accès ne peut être exercé que par la personne concernée, et non ses héritiers. Mais le Conseil d’Etat a décidé d’annuler cette […]

Les auteurs d’une plainte auprès de la CNIL doivent être informés de la sanction prononcée

Le Conseil d’Etat, dans un arrêt du 19 juin 2017, a précisé les modalités d’information des auteurs d’une plainte auprès de la CNIL des suites qui ont été données à leur action.  Lorsque la CNIL refuse de donner suite à une plainte, l’auteur de celle-ci peut engager un recours contre ce refus. Toutefois, « lorsque la Cnil a décidé d’instruire une plainte, l’auteur de celle-ci n’a intérêt à contester ni la décision prise à l’issue de cette instruction, quel qu’en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment ».  Mais « lorsque la plainte conduit, comme c’est le cas en l’espèce, […]

Microsoft est désormais en conformité avec la loi Informatique et Libertés

En juillet 2016, la CNIL avait mis en demeure Microsoft de « cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement », et lui avait demandé »d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs ». C’est aujourd’hui chose faite. Concernant les données collectées, la CNIL a constaté que Microsoft avait « réduit de près de la moitié le volume des données collectées » en le limitant aux « données strictement nécessaires pour maintenir le système et les applications en bon état ». S’agissant de l’absence de consentement recueilli, « les utilisateurs sont désormais informés, par une mention […]

Le Conseil d’Etat confirme la sanction infligée par la CNIL à Optical Center

Par un arrêt du 19 juin 2017, la plus haute juridiction administrative a confirmé la sanction infligée par la CNIL à Optical Center au titre du non respect des obligations de confidentialité et de sécurité des données.  La CNIL, saisie par une cliente de la société, l’avait mise en demeure de se conformer aux dispositions de la loi informatique et libertés aux termes de laquelle « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles […]

Avocats : la CNIL rappelle qu’eux aussi doivent respecter la loi informatique et libertés

La CNIL a rappelé à l’ordre un cabinet d’avocats qui avait collecté les mails privés d’une de ses collaboratrice, sans autorisation du juge.  La collaboratrice, qui n’en est plus une aujourd’hui, avait d’abord saisi la justice en requalification du contrat de collaboration libérale en CDD afin de constater un licenciement sans cause réelle et sérieuse. Sa demande avait été rejetée. Parallèlement, et afin de prouver qu’elle avait développé une clientèle personnelle, le cabinet d’avocats avait produit des dossiers et mails personnels qu’il avait recueillies par constat d’huissier. Toutefois, ce recueil ne s’était pas fait avec l’autorisation préalable du juge, ce […]

« Trouver mon master » : recommandations de la CNIL

La CNIL vient d’émettre un avis concernant un projet d’arrêté portant sur la mise en oeuvre d’un traitement de données à caractère personnel dénommé « Trouver mon master », arrêté pris au lendemain de l’avis.  Aujourd’hui, « Trouver mon master » est un simple portail visant à informer les étudiants sur « l’offre nationale de formations menant au diplôme de master n’impliquant pas le traitement de données personnelles ». Mais le gouvernement souhaitait en faire un téléservice de l’administration électronique qui permettrait « aux étudiants de licence n’ayant pas reçu de réponse positive à leurs candidatures en première année de master de saisir, par voie électronique, le recteur afin de […]

Fichier des hooligans : validation par le Conseil Constitutionnel

Le Conseil Constitutionnel a examiné une question prioritaire de constitutionnalité portant sur la loi du 10 mai 2016 qui renforce le dialogue avec les supporters et la lutte contre le houliganisme. Cette loi augmente la durée d’interdiction de stade de 18 à 36 mois et autorise la création de fichier des supporters. L’Association nationale des supporteurs avait d’abord saisi la justice administrative avant de transmettre la QPC au Conseil Constitutionnel aux motifs que la loi conférait un pouvoir de police à une personne privée, ce qui violerait l’article 12 de la DDHC, et porterait « atteinte à la liberté d’aller et de venir, au principe de légalité […]

Professionnels de santé : sanction pécuniaire pour absence de coopération avec la CNIL

La CNIL a sanctionné un cabinet dentaire pour non respect du droit d’accès et refus de coopération avec elle.  Un patient qui ne parvenait pas à accéder à son dossier médical a porté plainte au près de l’autorité de protection des données, laquelle a tenté d’interroger le cabinet dentaire à ce sujet. Sans réponse de la part de celui-ci, et suite à une mise en demeure, la CNIL a décidé de le sanctionner pécuniairement à hauteur de 10 000 euros. Elle a également profité de ce cas pour faire une piqure de rappel aux professionnels de santé. Dans ce contexte, […]

Moyen de preuve licite : courriel issu d’une messagerie non déclarée à la CNIL

Dans un arrêt du 1er juin 2017, la Cour de Cassation a affirmé qu’un courriel issu d’une messagerie pouvait constituer un moyen de preuve licite, peu importe le fait que le système de messagerie électronique professionnelle n’ait pas été déclaré à la CNIL.  Licencié pour insuffisance professionnelle par une société, un directeur administratif et financier avait saisi la justice. L’ancien employeur, pour sa défense, avait produit des courriels issus d’un système de messagerie qu’il n’avait pas déclaré à la CNIL, acte pourtant obligatoire en vertu des articles 22 et 24 de la loi informatique et libertés. L’ancien employé avait alors soulevé […]