- 11 décembre 2023 – Uber B.V. et Uber Technologies Inc
- 11 décembre 2023 – Ministère de l’Intérieur et des Outre-mer et le Ministère de l’Europe et des Affaires étrangères
- 19 décembre 2023 – Commune de Kourou
- 27 décembre 2023 – Amazon Logistique France
- 29 décembre 2023 – NS Cards France
- 29 décembre 2023 – Yahoo !
- 29 décembre 2023 – Tagadamedia
11 décembre 2023 – Décision rendu par l’autorité néerlandaise de protection des données en coopération avec la CNIL : Uber B.V. et Uber Technologies Inc
Sanction : 10 millions d’euros
Manquements : Droit des personnes / Information des personnes
L’autorité néerlandaise de protection des données a imposé une amende de dix millions d’euros à Uber B.V. et Uber Technologies Inc. pour plusieurs violations liées à l’information des chauffeurs.
La CNIL a collaboré étroitement avec l’autorité néerlandaise tout au long de la procédure, conformément aux procédures de coopération entre autorités prévues par le RGPD.
Les sociétés Uber ont enfreint plusieurs obligations, notamment en ne fournissant pas les données demandées dans un format accessible, en ne rendant pas suffisamment accessible le formulaire en ligne pour exercer les droits, en fournissant des informations incomplètes dans leur déclaration de confidentialité et en omettant de mentionner explicitement le droit à la portabilité des données.
La décision de sanction souligne l’importance de la transparence des informations et de la protection des droits des personnes concernées, conformément aux principes du RGPD.
11 décembre 2023 – Gestion des visas dans l’espace Schengen : Ministère de l’Intérieur et des Outre-mer et le Ministère de l’Europe et des Affaires étrangères
Sanction : Rappel à l’ordre
Manquements : Licéité / Sécurité des données
La CNIL a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer ainsi que le ministère de l’Europe et des Affaires étrangères pour leur mauvaise gestion des systèmes français liés aux demandes de visas dans l’espace Schengen.
Le système européen d’information sur les visas (VIS) centralise les données relatives aux demandeurs et aux demandes de visas, tandis que le système européen d’information Schengen (fichier Schengen) contient des informations sur les personnes recherchées, disparues, ou interdites de séjour.
Les ministères ont contrevenu à la règlementation européenne et à la loi Informatique et Libertés en ayant des copies nationales du fichier Schengen, ce qui était interdit, et en traitant des données inexactes, causant des problèmes de synchronisation et des écarts de données.
Les ministères ont corrigé les manquements en remplaçant le système précédent par une application conforme, France-Visas, mettant ainsi fin aux problèmes de copies illicites et de données inexactes.
19 décembre 2023 – Non-désignation d’un délégué à la protection des données : Commune de Kourou
Sanction : 5 000 euros et 150 euros par jour de retard.
Manquements : Défaut de coopération avec la CNIL / Non désignation d’un DPO
Le 25 avril 2022, la présidente de la CNIL a indiqué avoir mis en demeure 22 communes en raison de la non-désignation d’un Délégué à la Protection des Données (DPO) en violation du RGPD.
La commune de Kourou n’a pas respecté le délai de 4 mois pour se conformer à cette exigence et n’a pas répondu à la CNIL.
La CNIL a lancé une première procédure de sanction simplifiée, imposant une amende de 5 000 euros à la commune de Kourou avec une injonction de conformité sous trois mois.
Malgré cette première sanction, la commune de Kourou n’a toujours pas désigné de DPO ni répondu à la CNIL, ce qui a conduit à une nouvelle procédure de sanction ordinaire.
La formation restreinte de la CNIL a souligné l’importance du rôle du DPO comme interlocuteur principal pour les questions de protection des données.
La commune de Kourou a été sanctionnée, à nouveau, à une amende de 5 000 euros et une injonction de conformité dans un délai de deux mois, avec une astreinte de 150 euros par jour de retard.
La sanction a été renforcée en la rendant publique et en ordonnant à la commune d’afficher un message d’information sur son site web pendant quatre jours à l’intention des usagers. A ce jour, le DPO n’a toujours pas été désigné.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048580096
27 décembre 2023 – Surveillance des salariés : AMAZON FRANCE LOGISTIQUE
Sanction : 32 millions d’euros
Manquements : Durées de conservation / Minimisation / Licéité du traitement / Sécurité des données / Information des personnes
La CNIL a infligé une amende de 32 millions d’euros à AMAZON FRANCE LOGISTIQUE pour un système de surveillance intrusif des activités et performances des salariés ainsi que pour des manquements liés à la vidéosurveillance.
La société gère les entrepôts d’Amazon en France où chaque salarié est équipé d’un scanner pour documenter en temps réel ses tâches, générant des données utilisées pour évaluer leur performance.
La CNIL a jugé excessives et disproportionnées :
- Les mesures précises des temps d’inactivité des scanners et de la vitesse d’exécution des tâches avec un tel degré de finesse (inactivité de 10 minutes et scan d’articles en moins de 1,25 seconde) ;
- La conservation de toutes les données et indicateurs pendant 31 jours ;
Manquements relatifs au suivi de l’activité des salariés à l’aide de scanners
Amazon France Logistique utilise des scanners pour suivre l’activité et la performance des salariés dans ses entrepôts.
La CNIL a relevé des manquements au RGPD concernant la minimisation des données et la licéité du traitement.
Les indicateurs mis en place ont été appréciés par la CNIL comme illégaux en raison de leur intrusion excessive dans la vie privée des salariés :
- « Stow Machine Gun » : signale les rangements trop rapides.
- « Idle time » et « temps de latence inférieurs à dix minutes » : signalent les périodes d’inactivité du scanner.
Les indicateurs ont été considérés comme une violation du RGPD par la CNIL en raison de la surveillance excessive des salariés, notamment en temps d’inactivité.
Il a également été relevé que les données des scanners sont également utilisées pour planifier le travail, évaluer les salariés et les former. La CNIL estime que seules des statistiques agrégées sont nécessaires pour ces processus, sans besoin de détails excessifs.
Enfin, jusqu’en avril 2020, les intérimaires travaillant pour la société n’étaient pas correctement informés quant aux traitements de données de suivi d’activité réalisés.
Manquement relatifs au le dispositif de vidéosurveillance
Les salariés et les visiteurs extérieurs n’étaient pas correctement informés concernant les systèmes de vidéosurveillance, en violation de l’article 13 du RGPD.
Les informations requises n’étaient pas fournies sur les panneaux d’affichage ni dans d’autres supports ou documents.
Par ailleurs, l’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé, le mot de passe d’accès n’étant pas suffisamment robuste et le compte partagé entre plusieurs utilisateurs.
Ces failles de sécurité compliquaient la traçabilité des accès aux images vidéo et l’identification des personnes ayant effectué des actions sur le logiciel.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048989272
29 décembre 2023 – Paiement électronique : NS CARDS France
Sanction : 100 000 euros
Manquements : Durées de conservation / Information des personnes / Sécurité des données / Utilisation des cookies et traceurs
NS CARDS FRANCE, éditrice du site neosurf.com et de l’application « Neosurf », a fait l’objet de deux contrôles de la CNIL à la fin de l’année 2021, révélant plusieurs manquements.
La CNIL a infligé deux amendes à NS CARDS FRANCE : une pour des manquements au RGPD, en coopération avec 17 homologues européens, et une autre pour un manquement relatif à l’utilisation des cookies et traceurs, où la CNIL agit seule.
Les manquements identifiés portent sur :
- La gestion des durées de conservation : la durée est indéfinie pour des données de comptes utilisateurs au lieu de les supprimer après dix ans ;
- La transparence : la politique de confidentialité est incomplète et obsolète, fournie en anglais alors que la majorité des utilisateurs sont francophones ;
- Un défaut de sécurité : La CNIL constate l’insuffisance de la robustesse des mots de passe et stockage inadéquat des mots de passe dans la base de données ;
- La gestion du consentement : Le dépôt de cookies Google Analytics est réalisé sans consentement et tout comme l’utilisation de reCAPTCHA sans consentement ni information préalable des utilisateurs.
Les sanctions ont été déterminées en tenant compte de la gravité des manquements, de la négligence de la société, du type de données personnelles concernées, du nombre de personnes touchées et de la situation financière de la société.
L’utilisation des cookies Google Analytics sans consentement a affecté potentiellement des centaines de milliers de visiteurs du site web, tandis que l’utilisation du reCAPTCHA sans consentement a concerné potentiellement les 700 000 titulaires de comptes de la société.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048907667
29 décembre 2023 – Cookies : Yahoo!
Sanction : 10 millions d’euros
Manquements : Défaut de consentement des internautes pour le dépôt de cookies publicitaires / Opposition au consentement
La CNIL a infligé une amende de 10 millions d’euros à YAHOO EMEA LIMITED pour non-respect des choix des internautes concernant les cookies sur son site Yahoo.com et pour avoir empêché les utilisateurs de retirer leur consentement aux cookies sur la messagerie « Yahoo! Mail ».
YAHOO EMEA LIMITED gère plusieurs services web, dont un moteur de recherche et une messagerie électronique. La CNIL a reçu 27 plaintes concernant le non-respect du refus des cookies et les difficultés à retirer le consentement au dépôt de cookies.
La formation restreinte de la CNIL a considéré que YAHOO EMEA LIMITED avait enfreint l’article 82 de la loi Informatique et Libertés en ne respectant pas le choix des internautes et en dissuadant ces derniers de retirer leur consentement.
Les manquements sanctionnés comprennent
- Le défaut de consentement des internautes pour le dépôt de cookies publicitaires ;
- L’incitation à ne pas retirer son consentement en menaçant de restreindre l’accès aux services de messagerie.
La CNIL a souligné que le retrait du consentement aux cookies doit être libre et que les utilisateurs ne doivent pas subir de préjudice s’ils expriment un refus.
La CNIL est compétente pour contrôler et sanctionner les opérations liées aux cookies en France, sans application du mécanisme de guichet unique du RGPD, car elles relèvent de la directive « ePrivacy » transposée dans l’article 82 de la loi Informatique et Libertés.
La CNIL est également territorialement compétente en vertu de l’article 3 de la loi Informatique et Libertés, car l’utilisation des cookies est réalisée dans le cadre des activités de YAHOO FRANCE, qui constitue l’établissement français de YAHOO EMEA LIMITED.
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048967251
29 décembre 2023 – Courtiers en données : TAGADAMEDIA
Sanction : 75 000 euros
Manquements : Licéité / Défaut de consentement licite / Registre des traitements /
La CNIL a infligé une amende de 75 000 euros à la société TAGADAMEDIA pour violation du RGPD.
Cette sanction fait suite à des contrôles menés dans le cadre de la thématique prioritaire de la CNIL sur la prospection commerciale en 2022.
Manquements à l’obligation de disposer d’une base légale pour les traitements :
TAGADAMEDIA collecte des données de prospects via des formulaires de jeux-concours, mais ces formulaires ne permettent pas de recueillir un consentement conforme aux exigences du RGPD.
Les formulaires présentent des biais visuels qui incitent fortement les utilisateurs à accepter la transmission de leurs données aux partenaires, privant ainsi le traitement de base légale.
Manquement à l’obligation de mettre en œuvre un registre des activités de traitement :
TAGADAMEDIA n’a pas correctement mis en place un registre des activités de traitement conforme au RGPD.
Le registre partagé avec une autre société ne précise pas laquelle des deux est responsable du traitement des données.