Toute procédure de sanction diligentée par la CNIL n’entraîne pas nécessairement de sanction. C’est ce qu’illustre une récente décision, en reconnaissant la mise en conformité du responsable du traitement après qu’il eut été mis en demeure.
Par Prudence Cadio, avocat, et Maxime Hanriot, avocat, CMS Bureau Francis Lefebvre
La CNIL a, en effet, décidé de clôturer le 27 juin 2017 la procédure initiée à l’encontre de Microsoft à propos de son système d’exploitation Windows 10, estimant que la société s’était mise en conformité avec la loi n° 78-18 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la loi «Informatique et libertés»).
Après avoir procédé à sept contrôles en ligne (nouveau moyen de contrôle introduit par loi n° 2014-344 du 17 mars 2014 relative à la consommation) du système d’exploitation Windows 10 en avril et en juin 2016, la CNIL avait relevé plusieurs manquements de Microsoft concernant notamment la nature des données collectées et la sécurité de celles-ci. A ce titre, elle lui avait adressé une mise en demeure par décision en date du 30 juin 2016 qu’elle avait rendue publique le 20 juillet 2016.
La CNIL avait constaté la collecte excessive ou non pertinente de données – essentiellement techniques – pour le fonctionnement du système d’exploitation. Seules les données strictement nécessaires à la poursuite de la finalité définie par le responsable de traitement doivent être collectées (article 6-3° de la loi Informatique et libertés).
Ce principe sera, d’ailleurs, renforcé par les dispositions du règlement européen (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le «RGPD») qui entrera en vigueur le 25 mai 2018. Le RGPD pose le...
