Post de CNIL

🔴 Le 30 avril, le Conseil d'État a confirmé la mise en demeure non publique prononcée en 2023 par la CNIL à l'encontre de la commune de Beaucaire relative à ses systèmes informatiques et de vidéoprotection, à la suite de contrôles sur place et sur pièces. La commune de Beaucaire met en oeuvre depuis 30 ans un dispositif de vidéoprotection composé de 73 caméras implantées sur la voie publique et en extérieur, dont 6 étaient équipées de dispositifs LAPI (lecture automatisée des plaques d'immatriculation). Dans sa décision de mise en demeure, la CNIL estime que la commune n'est pas une autorité compétente pour mettre en oeuvre des dispositifs LAPI conformément aux articles L.233-1 et suivant du code de la sécurité intérieure et qu'en outre, la collecte des plaques d'immatriculation ayant pour seule finalité de répondre aux réquisitions des forces de l'ordre pour l'exercice de leur mission de police judiciaire ne correspond pas à l'une des finalités énumérées par l'article L. 251-2 du CSI. Plusieurs points d'intérêt dans cet arrêt : 1️⃣ Les contrôles menés font suite à un signalement de la chambre régionale des comptes. On l'oublie parfois, mais la CNIL peut recevoir des signalements, y compris d'autres autorités administratives. Il n'y a pas que les plaintes et les contrôles spontanés ! 2️⃣ Le Conseil d'Etat valide la possibilité pour les communes de mettre en oeuvre des dispositifs LAPI, à condition qu'ils poursuivent l'une des finalités énumérées par l'article L. 251-2 du CSI. Pour rappel, celui-ci régit les dispositifs de vidéoprotection de façon générale et liste une douzaine de finalités permises. La réponse aux réquisitions des forces de l'ordre dans le cadre de missions de police judiciaire n'en fait pas partie. La CNIL est donc fondée à ordonner la cessation de l'utilisation de ces dispositifs. 3️⃣ Le Conseil d'Etat valide également la caractérisation du risque élevé. En effet, la juridiction constate que les caméras sont placées dans des zones accessibles au public, notamment à proximité de points de passage importants et de plusieurs services et infrastructures publics. C'est donc à juste titre que la CNIL a estimé que le système de vidéoprotection, eu égard à sa nature et à son ampleur, pouvait présenter un risque élevé, et qu'elle a donc mis en demeure la commune de réaliser une analyse d'impact. 4️⃣ Sur la sécurité des données, la Haute juridiction rappelle à nouveau que la CNIL peut s'appuyer sur ses propres recommandations et celles de l'ANSSI, dépourvues de valeur normative, pour caractériser un manquement, dans la mesure où ce n'est pas la méconnaissance en tant que telle de ces recommandations qui est sanctionnée mais bien la méconnaissance de l'article 32. Ici, Beaucaire est pointée du doigt pour une série de mauvaises pratiques "classiques" : mots de passe insuffisamment complexes, utilisation d'un système d'exploitation qui n'est plus mis à jour par l'éditeur, absence de segmentation du réseau.

Je constate après, je l'admet, un mauvais jugement, que le dernier module de l'Atelier RGPD trouve des applications très concrètes et qui sont sujettes à des décisions du conseil d’État. La vision du RGPD est souvent une application qui aurait pour but d'augmenter négativement des contraintes du secteur privé uniquement. Alors : 1. Non ce n'est pas une contrainte, c'est une opportunité ; 2. Cela s'applique également aux Collectivités territoriales et organismes publics ; 3. C'est également une opportunité pour ces organismes car : Le RGPD n'a pas constamment vocation à s'appliquer de lui-même (cf : droit de la santé, et ici Code de la Sécurité Intérieur/ CSI). Enfin, de maintenir une sécurité informatique digne de ce nom puisqu'en l'espèce, cela semblait catastrophique 😉 Petit rappel sur les mots de passe : il faut aujourd'hui entre 12 minutes et 4h pour craquer un mot de passe de 8 caractères là où il en fallait 4 ans auparavant A bon entendeur 😎

🔔 "Alerte extrêmement grave", à #Paris certaines personnes ont reçu hier une notification via le système FR-alert pour les informer de l'ouverture du guichet pour obtenir un "pass jeux". Si beaucoup s'étonnent de l'utilisation de ce système d'alerte assez intrusif, c'est pourtant tout à fait légal. L'article L33-1 I f ter du Code des postes et des communications électroniques prévoit "L'acheminement gratuit d'informations d'intérêt général à destination des utilisateurs finals". Ce sont les opérateurs mobile qui diffusent l'information aux personnes proches de certaines antennes. Par contre, FR-alert dispose de plusieurs niveaux d'alerte, le "extrêmement grave" était peut-être un peu trop élevé. Le risque est que les personnes désactivent ces alertes dans les paramètres de leur téléphone. Ce système permet toutefois d'efficacement informer les personnes sur une zone, et je me suis demandé pourquoi n'est-il pas utilisé pour fournir des mentions d'informations du #RGPD, par exemple lors d'un vol de #drone ? La CNIL a pourtant rejeté une plainte sur le sujet. ⤵ #videosurveillance #videoprotection #JO2024 #JOP2024 #FRalert

📽 📵 Même pourvu d’une caméra, un smartphone n’est pas une « caméra de surveillance » soumise aux obligations de la loi du 21 mars 2007 puisque ce n’est pas là sa fonction première. Pour l’Autorité belge de protection des Données (APD), les caméras de surveillance sont en effet des systèmes d'observation dont le but est la surveillance et le contrôle des lieux (§17). Par ailleurs, le traitement de données à caractère personnel issues des images d’un smartphone peut se justifier sur base de la poursuite d’intérêts légitimes. En l’occurrence, leur utilisation dans le cadre d’une procédure judiciaire entre voisins est légitime (§20) et limitée à ce qui est nécessaire puisque le responsable du traitement a flouté, autant que possible, les personnes concernées (§§22-23). De même, la balance des intérêts penche en sa faveur, étant donné que ces photos n’ont pas circulé en-dehors de la procédure judiciaire ; l’impact pour les personnes concernées est donc minime (§24).  Toutefois, maintenant que ces données ont été transmises au tribunal, il convient de les effacer (§25). La décision (NL) de classement sans suite de l’APD n° 61/2024 du 23 avril 2024 est disponible ici : https://lnkd.in/eECsVPcQ La loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance est disponible ici : https://lnkd.in/dMkmFh8y #RGPD #GDPR #AVG #personaldata #donneeacaracterepersonnel #persoonsgegevens #classementsanssuite #plainteRGPD #cameradesurveillance  

🎥 L'utilisation des caméras de vidéosurveillance en entreprise : une question de conformité essentielle Dans un environnement professionnel où la sécurité et la protection des biens et des personnes sont primordiales, l'utilisation de caméras de vidéosurveillance peut sembler être une solution évidente. Cependant, il est crucial de comprendre que leur déploiement est soumis à des règles strictes, notamment en ce qui concerne la vie privée des individus. ⚠️La CNIL (Commission nationale de l'informatique et des libertés) surveille de près l'utilisation de ces dispositifs. Le non-respect de ces règles expose l'entreprise à des sanctions financières. 🔓La méthode ConformiZen, aborde le sujet des caméras en entreprise parmi beaucoup d’autres. Si la conformité est une priorité dans votre entreprise, contactez-nous pour en parler. #Conformitérèglementaire #Vidéosurveillance #CNIL #ProtectionDesDonnées #ChleaConsulting #SécuritéEnEntreprise

Plainte n°49743ed784 concernant l'installation illégale d'une caméra de surveillance Bonjour, Je tiens à signaler une infraction concernant une caméra de surveillance installée par un particulier, qui filme directement la voie publique et capte les mouvements des passants sans leur consentement. Cette caméra, visible sur l'image jointe, semble violer plusieurs lois en matière de protection de la vie privée. Contexte : J'ai déjà déposé une plainte auprès des autorités compétentes sous le numéro 49743ed784. Cependant, malgré cette démarche, la caméra est toujours en place et continue d'enregistrer les mouvements de nombreuses personnes, dont moi-même. De plus, un voyant lumineux s'allume clairement à chaque passage, indiquant que mes mouvements sont captés, ce qui est extrêmement dérangeant. Lois applicables (France, septembre 2024) :    Article 226-1 du Code pénal : Il est interdit de filmer, enregistrer ou capter l'image d'une personne dans un lieu privé sans son consentement. La voie publique est également protégée par ce cadre juridique, interdisant aux particuliers de filmer l'extérieur de leur propriété sans autorisation.    Réglementation CNIL : La captation d'images de la voie publique par des particuliers est strictement interdite, sauf en cas d'autorisation préfectorale spécifique, qui doit être affichée de manière visible. Aucune mention d'une telle autorisation n'a été faite concernant cette caméra.    Arrêté préfectoral : S'il existe une autorisation préfectorale pour cette caméra, elle doit être rendue publique, et les images capturées doivent respecter les règles strictes définies par cet arrêté. Mes demandes :    Vérification de la légalité de cette installation par les autorités compétentes (Gendarmerie, Préfecture).    Retrait immédiat de la caméra si elle n'a pas obtenu d'autorisation préfectorale.    Communication claire des informations relatives aux images enregistrées : où sont stockées ces images, qui y a accès, et à quelles fins elles sont utilisées ? Conséquences légales en cas de non-respect :    Amende jusqu'à 45 000 € et 1 an d’emprisonnement (article 226-1 du Code pénal) pour les infractions liées à la protection de la vie privée.    Sanctions de la CNIL : En cas de non-conformité, la CNIL peut infliger des sanctions financières importantes et exiger le retrait immédiat de la caméra. Je demande aux autorités compétentes de réagir rapidement et d’assurer que cette caméra respecte les lois françaises en matière de protection des données et de la vie privée. Si une autorisation préfectorale existe, je demande à la consulter. Sans réaction rapide, je me verrai dans l’obligation de poursuivre d'autres démarches pour assurer le respect de mes droits. Je reste à disposition pour toute information supplémentaire concernant cette situation. Cordialement, Mr DUCROS. #ViePrivée #Vidéosurveillance #Gendarmerie #PlainteOfficielle #CNIL #DroitNumérique #SécuritéNumérique #Justice #DroitsDesCitoyens #SécuritéPublique

RGPD Vs. directive Police-Justice... En matière de données personnelles, et en particulier en matière de vidéoprotection, tout ce qui n'est pas régit par l'un l'est forcement par l'autre. On pourrait penser que des caméras de vidéoprotection, puisque leurs finalités sont citées dans le Code de la Sécurité Intérieure, dépendent exclusivement de la directive Police-Justice puisque l'on parle avant tout de sûreté et de sécurité. La réalité est bien surprenante puisqu'une bonne partie des finalités sont en fait régies par le RGPD voire la LIL. De ce fait la conformité d'un système de vidéoprotection s'articule principalement autour de la protection des données personnelles et des droits des personnes. Un serpent qui se mord la queue quand les droits surpassent la protection... A avoir en tête pour une demande ou un renouvellement d'autorisation d'installation : VID Conseil vous accompagne à chaque étape. VID Conseil contact [@] vid-conseil [.] fr 0 486 376 617 https://www.vid-conseil.fr

🚨 Dépôt de #plainte à la CNIL contre le dispositif de #vidéoprotection des #JOP Paris 2024    Le 7 mai dernier, David Libeau a déposé plainte à la CNIL au sujet du traitement des données personnelles réalisé à l’aide du dispositif de #vidéoprotection, dans le cadre de la loi #JOP. La plainte est adressée à l’encontre du Ministère de l'Intérieur et des Outre-mer, la Préfecture de Police de Paris, et la société Wintics attributaire du marché public.    Dans la plainte rendue publique via l’article de Marc Rees sur l'Informé, sont considérés illicites par le déposant :   - Mauvaise qualification des parties et responsabilités associées - la désignation de l’entité adjudicatrice comme sous-traitant, et de la société Wintics comme responsable du traitement, ce qui ne serait pas conforme au #RGPD ;   - La finalité d’apprentissage de l’algorithme en vue des événements estivaux et son absence d’information au public, causant un manque de transparence est susceptible de sanction.   L’association de La Quadrature du Net a également déposé plainte à l’encontre de le Groupe SNCF concernant le dispositif de vidéoprotection intitulé “Projet PCP”, expérimenté dans différentes gares françaises (notamment Gare de Lyon et Gare du Nord à Paris, et Saint-Charles à Marseille). Elle invite la CNIL à se pencher sur la légalité du dispositif, au regard notamment :  - de sa finalité   - de sa base légale (ici l’intérêt légitime),   - des caractères adéquats et proportionnés du dispositif  - du respect des impératifs de nécessité absolue  - du respect du droit d’opposition au traitement des personnes concernées    Dans l’attente d’une décision de la CNIL et si les sujets liés à la vidéoprotection et des caméras augmentées vous intéressent, nous vous invitons à consulter notre article dédié qui sortira demain.   Les consultants #DPO certifiés et avocats de La Robe Numérique, experts en régulation du numérique et des technologies innovantes, vous accompagnent dans l’#audit et la mise en conformité des dispositifs de vidéoprotection et de vidéosurveillance, contactez-nous sur LinkedIn ou sur notre site internet. Lien en commentaire. Justine Cabanis Oriana Labruyère La Robe Numérique Conseil La Robe Numérique Avocat #RGPD

Dispositifs de détection sonore couplé à la vidéoprotrection ? Est-ce légal ? 🏛️ Un tribunal annule une convention de surveillance sonore pour non-conformité aux lois sur les données personnelles. 📉 Cette décision soulève d'importantes questions sur la vie privée et la technologie de surveillance. Quels seront les impacts ? 🌐🔍 #CNAPS #SécuritéPrivée #Vidéoprotection #vidéosurveillance #Son https://lnkd.in/ebhJeHFq

sécurité et libertés individuelles... vaste sujet