La CNIL interdit à un site web l’utilisation de Google Analytics

Featured

La CNIL met en demeure un site internet d’arrêter d’utiliser Google Analytics ou tout autre outil d’analyse et de mesures d’audience transférant des données outre-Atlantique. Une décision qui devrait faire date en France.

Serait-ce la fin pour Google Analytics, ce service du géant américain intégré par de nombreux gestionnaires de sites web pour mesurer leur fréquentation ?

Si la réponse est non, la CNIL (Commission nationale de l’informatique et des libertés) vient toutefois de jeter un pavé dans la mare en mettant ce jeudi en demeure un site internet – à l’identité non communiquée – de mettre dans un délai d’un mois « en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE ».

Saisie par l’association Noyb (None of Your Business) concernant le respect du RGPD (Règlement général sur la protection des données) lors du transfert outre-Atlantique de données collectées via l’outil développé par Google, la CNIL vient ainsi, avec cette décision forte, de jeter un froid sur une très grande partie de l’écosystème de la publicité en ligne. Pourquoi ? Parce que les revenus publicitaires des éditeurs sont très souvent basés sur les chiffres d’audience des sites fournis par Google Analytics.

Offensive européenne

Le gendarme français des données personnelles n’est pas le seul à pointer du doigt non seulement l’outil de Google, mais aussi, et surtout le transfert de données vers les Etats-Unis. La CNIL indique en effet être accompagnée des autres gendarmes européens des données personnelles, saisis en tout d’un total de 101 réclamations déposées par Noyb dans les 27 Etats membres de l’UE et trois autres pays européens.

« En l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les Etats-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment », fait valoir la CNIL.

« Or, ce n’est pas le cas », tranche l’Autorité. Et quand bien même « Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données », conclut l’Autorité, pour qui « il existe donc un risque pour les personnes utilisatrices du site français ayant recours à cet outil et dont les données sont exportées ».

Google Analytics pas seul concerné

Résultats des courses : « la CNIL constate que les données des internautes sont ainsi transférées vers les Etats-Unis en violation des articles 44 et suivants du RGPD ». Le gestionnaire du site à l’origine de sa saisine a désormais un mois pour se mettre en conformité avec le RGPD. Un avis qui devrait faire jurisprudence et amener de nombreux sites à revoir leur utilisation de Google Analytics.

Pour que la menace soit encore plus claire, la CNIL précise d’ailleurs que « d’autres procédures de mises en demeure ont été engagées à l’encontre de gestionnaires de sites utilisant Google Analytics ». Pour l’Autorité, il s’agit avant tout de faire respecter la conformité au RGPD du transfert de données de citoyens européens vers les Etats-Unis. Un transfert imposé outre-Atlantique par le Cloud Act, cette loi fédérale adoptée en 2018 permettant aux autorités américaines d’accéder aux données sur les serveurs, quelle que soit leur localisation, à partir du moment où la société visée est américaine ou a des liens économiques avec les Etats-Unis.

Conséquence, depuis l’arrêt Schrems II, du nom du fondateur de l’association Noyb, la Cour de Justice de l’Union européenne (CJUE) a cassé en juillet 2020 l’accord Privacy Shield qui encadrait le transfert de données vers les Etats-Unis depuis 2016.

Si Google Analytics fait figure de mastodonte des outils d’analyse et de mesure d’audience sur la toile, la CNIL recommande une anonymisation des données issues de ces outils « permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transferts illégaux ». La plateforme de Google n’est donc pas seule sur le banc des accusés, qui comprend « d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les Etats-Unis ». Autant de services qui pourraient faire l’objet de « mesures correctrices à ce sujet pouvant être adopté prochainement », précise la CNIL.

Source zdnet.fr

Les CNIL européennes rendent leur avis sur le projet de règlement sur l’IA

Featured

Le Comité européen et du Contrôleur européen de la protection des données ont rendu leur avis (en anglais) sur le projet de règlement établissant des règles harmonisées concernant l’intelligence artificielle.

Les autorités de protection, dont la CNIL en France, souligne « la nécessité de tracer des lignes rouges aux futurs usages de l’IA ». Elles demandent que les exceptions prévues à l’interdiction de l’identification biométrique à distance des personnes dans les espaces publics soient tout simplement retirées.

« L’avis recommande également une interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l’ethnicité supposée, le sexe, l’orientation politique ou sexuelle, ou d’autres motifs pour lesquels la discrimination est interdite »

De même, « l’utilisation de systèmes d’IA pour déduire les émotions d’une personne physique est par ailleurs considérée comme hautement indésirable et devrait également être soumise à une interdiction de principe (sauf cas très spécifiques, tels que certains objectifs de santé ) ».

Même sort pour les systèmes utilisés pour la notation sociale qui « doivent être systématiquement interdits ».

La CNIL et ses homologues européens réclament aussi plus de précisions sur la gouvernance du « Comité européen de l’intelligence artificielle » (CEIA), instance introduite par le projet de règlement. Elles veulent à ce titre que soient définies plus finalement les règles destinées à « garantir son indépendance » et « renforcer ses pouvoirs » afin de « lui permettre ainsi d’exercer un véritable contrôle, notamment lors de la mise en œuvre de systèmes d’IA à l’échelle européenne ».

« Les autorités de protection des données devraient être désignées comme autorités de contrôle national de l’intelligence artificielle », réclament encore ces acteurs dans leur avis.

Source nextinpact.com

Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics

Featured

La CNIL « fête » l’anniversaire du RGPD en annonçant avoir envoyé ses premières mises en demeure avec un message : les cookies doivent pouvoir être refusés aussi facilement qu’on peut les accepter. La mise en conformité doit intervenir sous un mois, faute de quoi des sanctions pourront suivre.

La Commission nationale de l’informatique et des libertés a le sens du timing. Alors que le RGPD est en application depuis très exactement trois ans, elle tape – enfin diront certains – du poing sur la table sur un sujet sensible : « La Présidente de la CNIL a adressé le 18 mai 2021 une vingtaine de mises en demeure à des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter ».

En avril, elle avait prévenu que la période de « grâce » était terminée et que des vérifications allaient débuter pour de bon concernant les pratiques de gestion des cookies et autres dispositifs de pistage. Le résultat ne surprendra personne : des manquements ont été identifiés. Si le bouton pour « tout accepter » est généralement bien visible et facilement cliquable, celui pour refuser joue parfois à cache-cache, ce qui est contraire au RGPD.

La Commission précise qu’il « s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies ». Les acteurs concernés « sont principalement d’importantes sociétés de l’économie numérique », explique la gardienne des libertés. Aucun nom n’est par contre donné.

On apprend néanmoins que parmi les organismes mis en demeure, « figurent également des acteurs publics », là encore sans plus de précision. Ils ont désormais « un mois pour se mettre en conformité et encourent des sanctions pécuniaires pouvant aller jusqu’à 2 % de leur chiffre d’affaires si ce délai n’est pas respecté ».

Bien évidemment, la CNIL ne compte pas en rester là et prévient : « des actions similaires seront conduites au cours des prochains mois, ce sujet étant l’une des thématiques prioritaires de contrôles de la CNIL en 2021 ».

Source nextinpact.com

La CNIL frappe Google et Amazon au portefeuille pour leurs usages abusifs des cookies

Featured

Google et Amazon ont été sanctionnés par de lourdes amendes, pour non-respect de la législation sur les cookies.

Après Carrefour le mois dernier, la CNIL s’attaque aux GAFAM, et inflige de lourdes sanctions de 100 millions d’euros à Google et de 35 millions d’euros à Amazon pour des infractions à la législation sur les cookies.

« La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a constaté, à la suite de contrôles, que lorsqu’un internaute se rendait sur les sites web google.fr et amazon.fr, des cookies publicitaires étaient déposés sur son ordinateur sans qu’il ait préalablement donné son accord », affirme la CNIL dans un communiqué diffusé aujourd’hui.

« Elle a ensuite relevé que les bandeaux d’information affichés lors de la consultation de ces sites ne contenaient pas d’informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser », ajoute la Commission.

Indigestion de cookies pour Google

La sanction envers Google se scinde en deux. La CNIL a décidé de sanctionner la société Google LLC d’une amende de 60 millions d’euros, et la société Google Ireland Limited d’une amende de 40 millions d’euros, après avoir relevé trois violations à l’article 82 de la loi Informatique et Libertés. A la suite d’un contrôle en ligne effectué sur le site google.fr en mars dernier, la CNIL reproche à la firme de Moutain View d’avoir déposé des cookies automatiques sur l’ordinateur du visiteur, sans recueil préalable du consentement.

La Commission dit constater un défaut d’information des utilisateurs du moteur de recherche, le bandeau situé en pied de page ne contenant « aucune information relative aux cookies », qui avaient pourtant déjà été déposés sur l’ordinateur de l’internaute dès son arrivée sur le site. « La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser », résume la Commission dans son avis.

Le régulateur reproche par ailleurs une défaillance partielle du mécanisme d’opposition. « Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché », explique l’autorité de contrôle.

Google défend son bilan

Il s’agit d’une amende record, mais ce n’est pas la première fois que la CNIL s’attaque à Google. En 2019, la commission avait infligé une amende de 50 millions d’euros à Google pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Il s’agissait, cette année-là, de la seule amende à dépasser le million d’euros.

« Les utilisateurs de Google s’attendent à ce que nous respections leur vie privée, qu’ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » a déclaré un porte-parole de Google à ZDNet, en réaction à ces trois accusations.

La firme estime que le régulateur ne tient pas compte de ses efforts en matière de protection des utilisateurs : « la décision rendue par la CNIL en matière de « ePrivacy » fait l’impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL, pour mieux comprendre ses préoccupations à mesure que nous continuons d’apporter des améliorations sur nos produits et services ».

Amazon dans le viseur du régulateur

La CNIL s’attaque aussi au géant du commerce électronique sur la base des mêmes constats. La société Amazon Europe Core est sanctionnée d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr, sans consentement préalable et sans information satisfaisante, affirme la commission.

A la suite de plusieurs contrôles effectuées entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a constaté que des cookies étaient automatiquement déposés sur l’ordinateur du visiteur, sans action de sa part. Le régulateur observe par ailleurs un défaut d’information des utilisateurs du site amazon.fr, et des informations « ni claires ni complètes » au sujet de la finalité des cookies.

La CNIL a par ailleurs constaté que « le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web ». Dans ce cas de figure, « les mêmes cookies étaient déposés sans aucune information délivrée aux internautes ».

Amazon exprime son désaccord face à la sanction

Du côté d’Amazon, même son de cloche que chez Google. L’entreprise exprime son « désaccord avec la décision de la CNIL ». « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons », justifie l’entreprise, interrogée par ZDNet.

En complément, la firme de e-commerce détaille la manière dont elle a adapté le système des cookies pour ses clients. Elle explique avoir mis à jour les informations et options proposées aux clients quant à son utilisation des cookies, et ce, sur l’ensemble de ses boutiques en ligne de l’UE, du Royaume-Uni et de la Turquie. Elle précise que les clients ont la possibilité de mettre à jour leurs préférences en matière de cookies à tout moment en visitant la page dédiée.

Rappelons que la CNIL a publié le 1er octobre dernier ses lignes directrices modificatives, ainsi qu’une recommandation portant sur l’usage des cookies et autres traceurs. Ce guide réactualisé de la commission vient appuyer le principe du consentement explicite, rappelant que la simple poursuite de la navigation ne devait pas faire office de preuve. La CNIL précisait alors que seuls des cas très spécifiques pouvaient justifier de l’exemption du recueil de consentement, notamment l’authentification auprès d’un service ou le fait de garder en mémoire le contenu d’un panier sur un site marchand.

Source zdnet.fr

StopCovid : la CNIL met en demeure le ministère de la Santé de se conformer au RGPD

Featured

Plusieurs irrégularités ont été décelées dans l’application de contact tracing, dont une deuxième version est déjà disponible.

L’application de contact tracing française n’est pas au bout de ses peines. Lors de ses travaux de vérification sur la nouvelle version de l’application StopCovid, la Cnil note que, si l’application respecte pour l’essentiel le RGPD et la loi Informatique et Libertés, elle soulève en revanche plusieurs irrégularités, notamment le recours au re-catcha Google dans l’information fournie au public et dans les contrats de sous-traitance.

Dans sa décision du 15 juillet 2020 rendue publique, l’autorité de régulation met le ministère des Solidarités et de la Santé en demeure d’y remédier dans un délai d’un mois.

StopCovid a été mise à jour à la suite des précédents contrôles réalisés par la Cnil au cours du mois de juin. Le régulateur avait en effet constaté dans la première version de l’application que l’adresse IP était régulièrement utilisée par le système de sécurité, dit anti-DDOS, déployé dans le cadre du service.

Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central (et non les seuls contacts les plus susceptibles d’avoir été exposés au virus), la Cnil précise que ce problème est à présent résolu dans la nouvelle version déployée fin juin (version v1.1). « D’une part, la méthode d’authentification par captcha – qui permet de vérifier lors de l’activation initiale de l’application que cette dernière est utilisée par un être humain – qui reposait sur la technologie reCaptcha de la société Google, est désormais remplacée par la technologie captcha développée par la société Orange. D’autre part, une fonction de pré-filtre de l’historique des contacts de l’utilisateur qui se déclare positif au virus SARS-CoV-2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l’utilisateur. »

Mais l’autorité demande toutefois à ce que cette nouvelle version soit « généralisée à tous les utilisateurs de StopCovid » car à ce jour, les deux versions coexistent.

Manquement à l’obligation d’information

L’autorité estime aussi que certaines informations mériteraient d’être mentionnées. La Cnil constate en effet que l’information fournie aux utilisateurs du service est « quasiment conforme aux exigences du RGPD » et devrait être complétée sur quelques points, à savoir « les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture », explique-t-elle.

La Cnil affirme, par ailleurs, que l’analyse d’impact relative à la protection des données réalisée par le ministère demeure incomplète concernant les « traitements de données réalisés à des fins de sécurité » (solution anti-DDOS collectant l’adresse IP et recaptcha). Or, selon l’autorité indépendante, « dès lors que cette solution de sécurité entraîne une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ».

L’application StopCovid avait fait l’objet de fortes réticences dès son lancement. Le nombre d’utilisateurs de l’application a peiné à décoller : deux semaines après son lancement, celui-ci avoisinait difficilement les 1,7 million (soit 2 % de la population). Un chiffre guère suffisant pour impacter véritablement le mode de vie des utilisateurs. Le service toucherait dorénavant « près de 2 millions d’utilisateurs », précise la Cnil.

Source zdnet.fr