FÉRAL

📣 Surveillance excessive des salariés : la #CNIL sanctionne une société du secteur immobilier à hauteur de 40 000 euros.  👀 La société avait mis en place un logiciel de suivi de l’activité de ses salariés ainsi qu’un système de #vidéosurveillance qui captait en continu les images et les sons dans ses locaux, y compris pendant les temps de pause. 🧑💻 La CNIL a considéré que la société ne disposait pas d’un intérêt légitime pour utiliser un logiciel de surveillance excessivement intrusif qui enregistrait les périodes d’inactivité et capturait régulièrement les écrans des ordinateurs des salariés. 📷 L’autorité a considéré que le dispositif de vidéosurveillance, qui enregistrait en continu et sans justification valable, contrevenait au #principedeminimisation des données et constituait une atteinte disproportionnée aux droits de salariés. ❌ La société, qui s’était contentée d’informer ses salariés à l’oral, a également été sanctionnée pour manquement à son #obligationd’information. La CNIL lui a également reproché de ne pas avoir réalisé d’#AIPD. Lire la délibération SAN-2024-021 du 19 décembre 2024 ⤵️ https://lnkd.in/gxuhYSku

🇪🇺 #IA Act : Première entrée en application du règlement et calendrier des prochaines étapes 🚀 Le premier volet de l’IA Act, relatif aux systèmes d’IA présentant des risques inacceptables, est entré en application le 2 février 2025. Concrètement, certaines utilisations de l’IA, jugées incompatibles avec les valeurs de l’Union européenne, sont désormais interdites telles que les systèmes de notation sociale, de police prédictive individuelle ou de reconnaissance des émotions. ⏳Prochaines dates d’entrée en application : 🔹2 août 2025 : application des règles relatives aux modèles d’IA à usage général (GPIA) et nomination des autorités compétentes des États membres. 🔹2 août 2026 : mise en oeuvre des obligations relatives aux systèmes d’IA à haut risque énumérés à l’annexe III (biométrie, infrastructures critiques, éducation, emploi...), des règles relatives aux #sanctions et mise en place d’au moins un bac à sable réglementaire par les autorités des États membres. 🔹2 août 2027 : mise en conformité des systèmes d’IA à haut risque de l’annexe I (jouets, dispositifs médicaux, équipement radio...). Lire le Règlement (UE) 2024/1689 ⤵️ https://lnkd.in/etpXH27W

📢 La #CNIL dévoile son plan stratégique 2025-2028 🔍 Dans le cadre de son nouveau plan stratégique, la CNIL orientera son action autour de 4 axes clés : 🤖 #Intelligenceartificielle : Pressentie pour être l’autorité nationale de surveillance du marché, la CNIL entend promouvoir une #IA éthique et respectueuse des droits, en assurant un contrôle de la conformité des systèmes d’IA et en mettant en oeuvre une régulation équilibrée et effective. 🧒🏻 #Mineurs et numérique : L'objectif affiché est de protéger les mineurs et leurs données dans l'environnement numérique, notamment via le contrôle des fournisseurs de services en ligne destinés aux mineurs. 🔓 #Cybersécurité : La CNIL souhaite renforcer la sécurité des données en accompagnant les individus et les organisations face aux violations de #données et en renforçant le respect des règles de sécurité grâce à des contrôles et des sanctions. 📱Usages numériques du quotidien : L'autorité annonce poursuivre son plan d’action relatif aux #applications mobiles et veillera au développement et au déploiement de systèmes d’identité numérique respectueux de la #vieprivée. Lire le plan stratégique 2025-2028 de la CNIL ⤵️ https://lnkd.in/eJmZDBV7

📢 Extraction de données personnelles : la #CNIL sanctionne un éditeur de #logiciel à hauteur de 240 000 euros 👥 La société commercialisait un outil de prospection permettant à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes cibles ayant fait le choix de limiter ou de masquer la visibilité de leurs coordonnées sur le réseau social LinkedIn. ❌ La CNIL a considéré que le traitement ne pouvait être fondé sur l’#intérêtlégitime de l’éditeur dans la mesure où les personnes cibles avaient choisi de restreindre l’accès à leurs données. 🕑 La CNIL a également considéré que le renouvellement dynamique et automatique du point de départ de la durée de conservation fixée à cinq ans n’était pas conforme au RGPD puisqu’il pouvait conduire à une #conservation illimitée dans le temps. 📨 L’autorité a relevé un manquement à l’obligation d’ #information des personnes concernées. Ces dernières n’avaient été informées qu’à partir de 2022, et uniquement dans un courriel en anglais. 👩🏻💻 Enfin, la CNIL a relevé un manquement à l’obligation de faire droit aux demandes d’exercice du #droit d’accès, par manque de précision des informations communiquées aux personnes souhaitant exercer ledit droit. ⚖️ Outre le prononcé d’une #amende, la CNIL a ordonné à la société de mettre en œuvre les mesures lui permettant de se mettre en conformité avec le RGPD, sous #astreinte de 10 000 euros par jour de retard à l’issue d’un délai de 6 mois suivant la notification de la délibération. Lire la délibération SAN-2024-020 du 5 décembre 2024 ⤵️ https://lnkd.in/eaZ8vG7Q

📢 La CNIL irlandaise inflige une #amende de 251 millions d’euros à l’encontre de #Meta à la suite d’une violation de #données ayant impacté 29 millions d’utilisateurs en 2018 ⭕️ La DPC a relevé que Meta avait manqué à ses obligations de notification de la faille de sécurité et à la mise en oeuvre d’une démarche de privacy by design et by default : 🔓 La notification de la violation par Meta était incomplète et sa documentation insuffisante. 🔑 Meta n’avait pas mis en oeuvre de mesures techniques et organisationnelles suffisantes pour intégrer la conformité au #RGPD dans une démarche de "Privacy by Design". Lire le communiqué de presse de la DPC ⤵️ https://lnkd.in/eXDPpCup

L'équipe FÉRAL vous souhaite une très belle année 2025 🌟 🎉 Christiane Féral-Schuhl Bruno Grégoire Sainte Marie Richard Willemant Olivia Luzi Justine Sinibaldi Elvina Mathieu Mitsuki Hirota Agathe Moulins Morgan Monnet Laure Comparet Julia Brouard Laurie Templier Melinda Nguyen Frédéric WOLARCZYK

📢 IA & Data : L’EDPB publie un avis relatif aux traitements de #donnéespersonnelles dans le cadre de la conception et du déploiement de systèmes d'IA (#SIA) 🫥 S’agissant de la mise en oeuvre d’un processus d’anonymisation des données, le comité estime qu’un SIA pourra être considéré comme anonyme si la probabilité d’extraire des données personnelles ou d’en obtenir à partir de requêtes est insignifiante. 🧰 En ce qui concerne le recours à l’intérêt légitime comme base légale, l’EDPB rappelle que les responsables de traitement sont tenus de vérifier si le recours à cette base remplit l’ensemble des critères d’identification, de nécessité et répond au test de mise en balance. 🚨 Sur le traitement illicite de données lors de la phase de développement et ses conséquences sur le déploiement d'un modèle d'IA, l’EDPB tient compte du rôle du responsable du traitement lors des différentes phases de développement et de déploiement. 🔎 Les responsables de traitement qui ont recours à un modèle d’IA qu’ils n’ont pas eux-mêmes développé sont tenus de mener des analyses précises pour déterminer si le modèle a été développé en conformité avec le #RGPD.   📃 Avec le développement et le déploiement des SIA, le principe d’ #accountability revient au coeur du processus de conformité et les responsables de traitement sont invités à documenter l’ensemble de leurs actions, de la mise en place d’un processus d’anonymisation, au choix de la base légale en passant par le recours à des SIA développés par des tiers. Lire l’avis 28/2024 de l’EDPB ⤵️ https://lnkd.in/eHSF7EWs

❓ Comment traiter une demande de partage de #donnéespersonnelles émanant d’autorités publiques de pays tiers à l’UE de manière conforme au RGPD ? 📢 Le 3 décembre 2024, le CEPD a publié des lignes directrices sur l’article 48 du RGPD concernant les demandes de #transfertsdedonnées d’autorités publiques de pays tiers. Ces recommandations clarifient les étapes clés pour évaluer la #légalité de ces demandes. 👀 Le #CEPD recommande aux entités concernées de vérifier que : 1️⃣ La demande de transfert est fondée sur une #baselégale : si la demande repose sur un accord international valide, le transfert est justifié par une obligation légale. En l’absence d’un tel accord, l’organisme doit déterminer si le transfert peut être justifié par une autre base légale, évaluation qui s’effectue au cas par cas et qui doit être documentée. 2️⃣ La demande de partage est compatible avec les mécanismes de transfert prévus au Chapitre V du RGPD : l’organisme concerné par la demande doit identifier le motif de transfert applicable, tel qu’une décision d’adéquation adoptée par la #Commissioneuropéenne ou l’utilisation de garanties appropriées comme les #clausescontractuelles types par exemple. 📅 Ces lignes directrices sont soumises à consultation publique jusqu’au 27 janvier 2025. Lire les lignes directrices de l'EDPB sur l'article 48 du RGPD ⤵️ https://lnkd.in/g4UyXBst

📣 Cybersécurité : un règlement d’exécution précise l’obligation, incombant aux entités financières au titre du règlement #DORA, de tenir un registre d’informations 📔 Le règlement DORA met à la charge des entités financières une obligation de tenir un registre d’informations relatif aux contrats portant sur l’utilisation de services #TIC fournis par des prestataires tiers. ➡️ Le règlement d’exécution 2024/2956, publié au JOUE le 2 décembre 2024, précise la forme et le contenu de ces registres d’informations. Les entités financières doivent notamment : 🔸Utiliser les modèles figurant aux annexes du règlement d’exécution ; 🔸Renseigner les contrats conclus avec leurs prestataires intra-groupe et les contrats conclus avec des prestataires tiers extérieurs au groupe en tant que sous-traitants.   📆 Les registres doivent être mis à disposition des autorités compétentes dès le début de l’année 2025 (#reporting). Lire le règlement d'exécution 2024/2956 ⤵️ https://lnkd.in/eSyfA8rp

📢 Absence de consentement : la #CNIL sanctionne l'un des principaux opérateurs français de #télécommunications à hauteur de 50 millions d'euros 📥 Par le biais de son service de messagerie électronique, la société diffusait des messages #publicitaires sous forme de courriels directement dans les boîtes de réception des utilisateurs, sans obtenir leur #consentementpréalable. ❌ En s'appuyant sur la jurisprudence de la #CJUE, la CNIL a considéré que cette pratique constituait un manquement au #RGPD, car assimilée à de la #prospection directe par courrier électronique, laquelle nécessite le recueil préalable du consentement. 🍪 La CNIL a également relevé un manquement à l'article 82 de la Loi Informatique et Libertés, en raison de l'absence d'effectivité du retrait du consentement au dépôt de #cookies sur le site de la société par les utilisateurs. ⚖️ Outre le prononcé d'une amende de 50 millions d’euros, la CNIL a ordonné à la société de mettre en œuvre des mesures permettant d’assurer le caractère effectif du retrait du consentement des utilisateurs aux opérations de lecture des cookies sous astreinte de 100 000 euros de par jour de retard à l'issue d'un délai de 3 mois suivant la notification de la délibération. Lire la Délibération SAN-2024-019 de la CNIL du 14 novembre 2024 ⤵️ https://lnkd.in/emxUrMYt