Modification des recommandations de la CNIL relatives aux mots de passe

modifications des recommandations de la CNIL concernant les mots de passe

Par une délibération du 22 juin 2017, la CNIL a modifié ses recommandations relatives aux mots de passe comme moyens d’authentification. En janvier de cette année, la Commission avait adopté une première recommandation qui disposait que : « S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé. « La commission […]

Les auteurs d’une plainte auprès de la CNIL doivent être informés de la sanction prononcée

Le Conseil d’Etat, dans un arrêt du 19 juin 2017, a précisé les modalités d’information des auteurs d’une plainte auprès de la CNIL des suites qui ont été données à leur action.  Lorsque la CNIL refuse de donner suite à une plainte, l’auteur de celle-ci peut engager un recours contre ce refus. Toutefois, « lorsque la Cnil a décidé d’instruire une plainte, l’auteur de celle-ci n’a intérêt à contester ni la décision prise à l’issue de cette instruction, quel qu’en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment ».  Mais « lorsque la plainte conduit, comme c’est le cas en l’espèce, […]

Microsoft est désormais en conformité avec la loi Informatique et Libertés

En juillet 2016, la CNIL avait mis en demeure Microsoft de « cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement », et lui avait demandé »d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs ». C’est aujourd’hui chose faite. Concernant les données collectées, la CNIL a constaté que Microsoft avait « réduit de près de la moitié le volume des données collectées » en le limitant aux « données strictement nécessaires pour maintenir le système et les applications en bon état ». S’agissant de l’absence de consentement recueilli, « les utilisateurs sont désormais informés, par une mention […]

Le Conseil d’Etat confirme la sanction infligée par la CNIL à Optical Center

Par un arrêt du 19 juin 2017, la plus haute juridiction administrative a confirmé la sanction infligée par la CNIL à Optical Center au titre du non respect des obligations de confidentialité et de sécurité des données.  La CNIL, saisie par une cliente de la société, l’avait mise en demeure de se conformer aux dispositions de la loi informatique et libertés aux termes de laquelle « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles […]

Adopte un mec : fin de la procédure de conformité mise en place par la CNIL

La CNIL avait mise en demeure la société Geb Adotaguy, éditrice du site de rencontre Adopte Un Mec, de se mettre en conformité avec la Loi Informatique & Libertés. C’est aujourd’hui chose faite. Dans une décision du 14 juin 2017, la Présidente de la CNIL, Isabelle Falque-Pierrotin, a annoncé qu’elle clôturait la procédure de mise en demeure. La société s’est en effet mise en conformité. Elle a notamment pris des mesures d’organisation en procédant aux formalités préalables auprès de la commission, en modifiant sa politique de mots de passe, en incluant dans ses contrats avec les sous-traitants une obligation de […]

« Trouver mon master » : recommandations de la CNIL

La CNIL vient d’émettre un avis concernant un projet d’arrêté portant sur la mise en oeuvre d’un traitement de données à caractère personnel dénommé « Trouver mon master », arrêté pris au lendemain de l’avis.  Aujourd’hui, « Trouver mon master » est un simple portail visant à informer les étudiants sur « l’offre nationale de formations menant au diplôme de master n’impliquant pas le traitement de données personnelles ». Mais le gouvernement souhaitait en faire un téléservice de l’administration électronique qui permettrait « aux étudiants de licence n’ayant pas reçu de réponse positive à leurs candidatures en première année de master de saisir, par voie électronique, le recteur afin de […]

Professionnels de santé : sanction pécuniaire pour absence de coopération avec la CNIL

La CNIL a sanctionné un cabinet dentaire pour non respect du droit d’accès et refus de coopération avec elle.  Un patient qui ne parvenait pas à accéder à son dossier médical a porté plainte au près de l’autorité de protection des données, laquelle a tenté d’interroger le cabinet dentaire à ce sujet. Sans réponse de la part de celui-ci, et suite à une mise en demeure, la CNIL a décidé de le sanctionner pécuniairement à hauteur de 10 000 euros. Elle a également profité de ce cas pour faire une piqure de rappel aux professionnels de santé. Dans ce contexte, […]

Education et services numériques : la CNIL interpelle le Ministère de l’Education Nationale

Une position ministérielle controversée Dans une lettre datée du 12 mai, la Direction du numérique éducatif du ministère de l’éducation nationale (DNE) avait annoncé qu’« il n’y [avait] pas de réserve générale sur l’usage des outils liés aux environnements professionnels chez les grands fournisseurs de service du web ». Cette interprétation soulève de nombreuses questions et pousse la CNIL à réagir. L’enjeu ce sont les données des élèves. Les entreprises auront accès aux annuaires des établissements et aux informations nominatives sur les élèves et les enseignants. Elles pourront suivre les déplacements et redoublements des uns et des autres, voir ce que le professeur […]

Facebook condamné à 150 000 € d’amende par la CNIL

Après avoir relevé que Facebook effectuait une « combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire » et les « traçait à leur insu », l’autorité de contrôle a condamné le réseau social au paiement d’une amende. La CNIL avait déjà mis Facebook en demeure de se conformer à la Loi Informatique & Libertés en février 2016. En cause : l’absence de recueil de consentement pour la combinaison des données des utilisateurs à des fins de publicité, l’impossibilité pour eux de s’y opposer et l’imprécision de l’information concernant la collecte des données. Mais Facebook n’a pas pris en compte […]

La CNIL lance une consultation sur trois thèmes d’interprétation du Règlement Général sur la Protection des Données

Le 23 février 2017, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a lancé une consultation publique sur trois thèmes : la notification de violation de données à caractère personnel, le profilage et le consentement. Toutes les entités intéressées sont invitées à y participer jusqu’au 23 mars 2017. La consultation est accessible à l’adresse suivante : https://www.cnil.fr/fr/consultation-reglement-europeen. Cette nouvelle série de consultations s’inscrit dans le prolongement de celles lancées par la CNIL de juin à juillet 2016 sur le délégué à la protection des données, la portabilité des données, les études d’impact sur la vie privée et […]