All

NOYB – None of your business

Le microciblage politique de la Commission européenne est illégal

NOYB gagne la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles « sensibles » sur leurs opinions politiques. La Commission européenne a tenté d’influencer les opinions politiques aux Pays-Bas. Dans le cadre de la lutte contentieuse autour du très critiqué règlement sur le contrôle des chats (une proposition de loi européenne qui pourrait compromettre toutes les communications en ligne chiffrées en permettant aux autorités de lire les chats en ligne), la Commission européenne a identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement. Pour tenter de « renverser » les opinions aux Pays-Bas, la Commission s’est rendue sur X/Twitter et a publié des messages faisant indirectement la promotion de ce règlement. […] Dans ce cadre, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités.

Le CEPD a ainsi adressé un blâme à la Commission, précisant qu’elle était un responsable du traitement et qu’elle était pleinement responsable du ciblage illégal sur la plateforme.
Plus d’informations ci-dessous !

EU Commission micro-targeting

Disponible sur: noyb.eu

PIPC (autorité coréenne)

Vente directe d’assurances automobiles : 12 sociétés d’assurance dommages sanctionnées pour violation de la loi sur la protection des données personnelles, pour un total de 9,277 milliards de wons

L’autorité coréenne a, ce 12 décembre 2024, annoncé que les résultats de son enquête menée depuis aout 2023 à la suite de plainte ont conduit à l’imposition d’une amende de 9,277 milliards de wons (environ 6,1 millions d’euros) à plusieurs  compagnies d’assurance, y compris Hyundai Marine & Fire Insurance, AXA General Insurance, Hana Insurance, MG Non-life Insurance, pour avoir collecté des données personnelles à des fins de marketing sans consentement légal. Dans ce cadre, un ordre d’amélioration a été donné pour renforcer le rôle de contrôle interne des responsables de la protection des données personnelles.

Les quatre compagnies d’assurance ont en effet :
* Exploité une fenêtre contextuelle (ci-après ‘fenêtre de réengagement’) pour inciter les utilisateurs ayant clairement exprimé leur refus de consentir à modifier leur position de consentement. Cependant, ce changement de consentement ne pouvait pas être considéré comme exprimé librement, car il contenait des formulations pouvant prêter à confusion et limitait le droit des utilisateurs de décider au sujet de leurs données personnelles. En particulier, alors qu’elles obtenaient le consentement à la collecte et à l’utilisation de données personnelles par ces fenêtres de réengagement, celles-ci n’incluaient pas d’indication sur le ‘traitement des données personnelles’ ou d’avis légaux nécessaires au consentement, ce qui empêchait les utilisateurs de réaliser qu’ils acceptaient le traitement de leurs données pour des raisons de marketing.

* Utilisé les données pour des campagnes de marketing non seulement pour l’assurance automobile, mais aussi pour des assurances conducteur, santé et dentaire appartenant à ces compagnies d’assurance. Il a également été confirmé qu’environ 30 millions d’activités marketing avaient été effectuées uniquement pour l’assurance automobile, comprenant des SMS et des appels. Par conséquent, le nombre de rapports de spam en rapport avec ces violations durant la période concernée n’était pas négligeable.

* Mal informé les personnes : l’absence de formulations sur la collecte, l’utilisation et la fourniture des données personnelles et l’absence d’avis légaux rendaient difficile pour les utilisateurs d’avoir une pleine compréhension du traitement de leurs données personnelles.

L’enquête et les sanctions imposées aux compagnies d’assurance concernant le traitement des données personnelles soulignent l’importance d’informer clairement les utilisateurs et de leur permettre d’exercer leur droit de décision libre pour obtenir un consentement légal. En outre, il a été clairement indiqué que la responsabilité du CPO comprend non seulement des mesures de sécurité pour prévenir les violations de données personnelles, mais aussi la mise en place d’un système de contrôle interne pour garantir le traitement légal des données personnelles. Il a également été précisé que, même s’il s’agit d’un traitement de données personnelles par des institutions financières, la loi sur la protection des données s’applique, même dans les cas où cela ne relève pas clairement de la loi sur les informations de crédit.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants.

L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir  délivré des avis d’exécution après avoir constaté qu’elles avaient passé de nombreux appels téléphoniques non sollicités à des personnes – qui avaient choisi de ne pas recevoir d’appels commerciaux – pour tenter de leur vendre une assurance-vie et des solutions de gestion de la dette:

1- Breathe Services Ltd (BSL), une société de conseil en matière d’endettement basée à Bolton, a d’abord attiré l’attention de l’autorité dans le cadre d’une enquête plus large sur des plaintes reçues concernant des appels téléphoniques non sollicités adressés à des personnes potentiellement vulnérables. Dans une tentative infructueuse de dissimuler sa véritable identité, BSL s’est avérée avoir usurpé son numéro de téléphone sortant en présentant plus de 1 000 numéros de téléphone différents lors des appels. L’enquête a révélé qu’entre mars et juillet 2022 et entre octobre et décembre 2022, BSL a bombardé les gens avec 4 376 037 appels de marketing direct non sollicités à des numéros qui avaient été enregistrés auprès du Telephone Preference Service (TPS). Cela a donné lieu à 58 plaintes auprès du TPS et à 193 autres plaintes auprès de l’ICO. Au cours de l’enquête, l’ICO a également découvert BSL avait délibérément tenté de dissimuler ses actions et avait cessé de coopérer avec l’ICO.
Conséquence pour l’entreprise ? Une amende de 170 000 livres sterling [soit quelques centimes par appel].

2- Money Bubble Ltd (MBL), une société de conseil financier basée à Oldham, a entre octobre et novembre 2022, la société a effectué 168 852 appels de spam, ce qui a donné lieu à plusieurs autres plaintes auprès de l’ICO et du TPS. MBL n’a pas prouvé que les personnes dont le numéro a été appelé avaient consenti à recevoir des appels de la société. Une amende de 120 000 livres sterling lui a été infligée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

BeReal : L’application qui n’accepte pas de réponse négative 

Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l’utilisation de leurs données personnelles à des fins publicitaires. Jusqu’ici, tout va bien, mais BeReal veut imposer un choix précis : si les utilisateurs cliquent sur « accepter », ils ne verront plus jamais la bannière de consentement. En revanche, s’ils osent cliquer sur « rejeter », la bannière apparaîtra tous les jours – jusqu’à la fin de leur vie, ou jusqu’à ce qu’ils cliquent sur le bouton « droit » et acceptent. La dernière tendance en matière de « dark pattern » est d’ennuyer les gens pour qu’ils acceptent.

A person holding a hammer tries to hit buttons labeled "NO", but doesn't manage to do it. Above, there is the slogan "Agree to tracking?"

Disponible sur: noyb.eu

ICO (autorité anglaise)

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles

Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à l’issue d’une enquête menée par ses services. Manjra R., 44 ans, originaire de Bolton, dirigeait une équipe chargée des demandes d’indemnisation pour Markerstudy Insurance Services Limited (MISL), basée dans le centre de Manchester. Son comportement illégal a été découvert après que MISL a signalé à l’ICO qu’elle soupçonnait un employé d’accéder illégalement à ses systèmes.

Des assureurs tiers avaient soulevé des préoccupations concernant 185 demandes d’indemnisation suspectes, et une enquête interne a révélé que Manjra était impliqué dans 160 de ces demandes sans raison légitime. Parmi celles-ci, 147 n’avaient pas été transmises à l’équipe de Manjra et aucune raison légitime n’a pu être trouvée pour qu’il y accède. Lorsque MISL a examiné ses systèmes, ils ont découvert que Manjra avait accédé à plus de 32 000 dossiers d’assurance les week-ends, alors qu’il n’était pas supposé travailler. L’enquête de l’ICO, qui comprenait une perquisition au domicile de Manjra, a révélé qu’il envoyait à une autre personne des détails sur les données personnelles auxquelles il avait accédé par téléphone portable.

Lors d’une audience à la Manchester Crown Court le 30 octobre 2024, Manjra a plaidé coupable d’une infraction à la loi de 1990 sur l’utilisation abusive des ordinateurs (Computer Misuse Act 1990), relative à l’accès illégal à des données personnelles contenues dans des ordinateurs. Manjra a été condamné à Manchester Crown Court le mercredi 11 novembre à une peine de six mois de prison, suspendue pendant deux ans, et à 150 heures de travail non rémunéré.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur l’approche de l’autorité anglaise vis à vis du secteur public

Publié aujourd’hui, le bilan de l’essai de deux ans montre que l’approche du secteur public adoptée par l’ICO a eu un impact, avec quelques réalisations notables, des domaines où il reste à faire, des défis inattendus et des conséquences involontaires. L’examen montre clairement que la réglementation s’applique à tout un éventail de situations, étayées par la théorie politique mais aussi par les différentes approches adoptées par les autorités internationales chargées de la protection des données. Plutôt que d’être une action définitive, la réglementation est une série d’activités telles que l’orientation, l’engagement, les campagnes publiques et l’application, qui peuvent être combinées pour favoriser le changement. Les amendes ont leur place, mais il existe aussi d’autres moyens de réglementer. Les mesures d’incitation et de dissuasion ne fonctionnent pas de la même manière dans tous les secteurs de l’économie.

Au cours de la période d’essai, nous avons décidé de commencer à publier les blâmes sur notre site web, avec environ 60 blâmes adressés à des organismes publics. Nous avons constaté que des changements significatifs ont été apportés par les organisations à la suite d’un blâme. L’étude a montré que les autorités publiques considéraient la publication des blâmes comme un moyen de dissuasion efficace, principalement en raison de l’atteinte à la réputation et de l’impact potentiel sur la confiance du public, ainsi que de la manière dont ils peuvent être utilisés pour attirer l’attention des hauts responsables. Les services de l’administration centrale ont fait état d’un engagement accru et de changements positifs à la suite des réprimandes, en particulier grâce à notre interaction régulière avec le réseau des chefs des opérations de l’administration. En revanche, les organisations du secteur public au sens large ont fait preuve d’une sensibilisation limitée, ce qui signifie que nous devons faire davantage pour partager les meilleures pratiques et les enseignements tirés.

L’étude a également mis en évidence des domaines susceptibles d’être améliorés, notamment la manière dont nous devrions préciser quelles organisations entrent dans le champ d’application de l’approche du secteur public et quels types d’infractions peuvent donner lieu à une amende. Il a également montré qu’il restait du travail à faire pour atteindre des organisations du secteur public plus larges et mettre en place des interventions ciblées. En réfléchissant aux deux dernières années et en me fondant sur les résultats de l’examen, le Président de l’ICO a décidé de poursuivre l’approche du secteur public. « Mais j’ai également écouté les commentaires et je vais clarifier davantage ses paramètres. C’est pourquoi je lance une consultation sur le champ d’application de l’approche et sur les facteurs et circonstances qui justifieraient l’imposition d’une amende à une autorité publique. Vous pouvez en savoir plus et répondre à notre consultation sur notre site web avant le 31 janvier 2025. Nous utiliserons les contributions reçues pour informer et finaliser notre approche. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Vodafone condamné en Grèce à 20 000 euros d’amende pour avoir mal répondu à une demande de droit d’accès

Ce 02 décembre 2024, l’autorité grecque a publié une décision de sanction (20 000 euros d’amende) à l’encontre de Vodafone en raison de problèmes dans la gestion de l’exercice des droits des personnes. Le plaignant, abonné à « My Vodafone », a déposé une plainte auprès de l’autorité de protection des données en raison de l’insatisfaction liée à l’accès à ses données personnelles. En 2019, il a demandé à Vodafone des informations conformément à l’article 15 du RGPD, couvrant un an de données personnelles et leurs traitements associés. Vodafone a répondu dans les délais, mais l’utilisateur a jugé les informations fournies insuffisantes. En effet, Lorsque le plaignant a demandé des informations supplémentaires, notamment sur les métadonnées de communication, Vodafone a refusé, en invoquant :
* Des restrictions légales liées à la confidentialité des communications électroniques, empêchant selon elle la transmission de certaines métadonnées.
* Une impossibilité technique, déclarant que ces données n’étaient pas accessibles ou collectées pour des besoins d’accès spécifiques.

L’enquête de l’autorité a permis de confirmer les faits et de relever plusieurs manquements :
* Une violation du droit d’accès (article 15 du RGPD) : Vodafone a manqué à fournir des réponses personnalisées et détaillées. Elle a orienté le plaignant vers des documents généraux (politiques de confidentialité) au lieu de fournir des informations spécifiques.
* Un refus d’accès aux métadonnées infondé  : Vodafone a invoqué des obligations légales pour justifier la limitation d’accès à certaines données, mais ces justifications n’étaient pas conformes aux exigences du RGPD.
* Le non-respect des obligations de transparence (articles 12 et 15) : L’entreprise n’a pas clarifié pleinement les traitements effectués avec les données demandées, et n’a transmis que des informations génériques en renvoyant à sa politique de confidentialité.

L’Autorité a ainsi condamné Vodafone à une amende de 20 000 euros et lui a ordonné de se mettre en conformité avec la réglementation.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les archives nationales néerlandaises mises en garde concernant la diffusion en ligne de documents relatifs à la Seconde Guerre Mondiale

Plusieurs agences travaillent depuis longtemps sur un projet de divulgation complète en ligne et de possibilité de recherche du Centraal Archief Bijzondere Rechtspleging (CABR), les plus grandes archives de guerre des Pays-Bas. Le CABR contient des dossiers sur des personnes soupçonnées d’avoir collaboré pendant la Seconde Guerre mondiale. Ces archives présentent un grand intérêt pour le public et offrent de nouvelles possibilités de découvrir ce qui s’est passé dans le passé.

Cependant, la manière dont les Archives nationales veulent rendre le CABR public en ligne est contraire à la loi sur les archives et au règlement général sur la protection des données (RGPD). Les Archives nationales ont été informées de ce risque à plusieurs reprises depuis 2022, par des conseillers internes et externes à l’organisation, mais n’ont pas suffisamment tenu compte de ces avertissements. C’est pourquoi l’Autorité des données personnelles (AP) se sent aujourd’hui obligée d’émettre un avertissement formel de ne pas divulguer le CABR comme prévu à partir du 1er janvier 2025.

En effet, le CABR contient environ 485.000 dossiers de personnes soupçonnées de collaboration et/ou jugées pour cette raison. Les archives contiennent de nombreux dossiers criminels, y compris ceux de personnes qui peuvent encore être en vie, par exemple dans des rapports de tribunal, des interrogatoires et des déclarations de témoins. Les dossiers contiennent également des documents personnels tels que des lettres, des journaux intimes et des photographies. Par ailleurs, le CABR contient également de nombreuses données sensibles concernant, par exemple, la religion, l’appartenance politique, la santé ou l’origine ethnique des personnes.

Ces données sensibles concernent non seulement les suspects, mais aussi, par exemple, les victimes, les témoins et les parents qui pourraient encore être en vie en 2025. En pratique, la divulgation prévue par les Archives nationales signifie que n’importe quel internaute, n’importe où dans le monde, peut effectuer des recherches dans tous les dossiers d’archives de guerre publiés en ligne à n’importe quel moment de la journée. Par tous les noms et prénoms imaginables et par tous les mots-clés imaginables. Tout le monde peut donc consulter les archives sans limite. Cela comporte également le risque que des informations sensibles provenant des archives soient diffusées publiquement par le biais des médias sociaux, par exemple. Dans l’ensemble, cette accessibilité illimitée présente des risques inutilement élevés pour la vie privée.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

L’autorité belge impose une amende de 25 000 euros contre l’Institut des Conseillers Fiscaux et des Comptables (ITAA)

Aujourd’hui, l’autorité belge a publié une décision de sanction à l’encontre de l’Institut des Conseillers Fiscaux et des Comptables (ITAA), anciennement le BIBF (Institut des Experts-Comptables et des Fiscalistes agréés), qui est l’entité en charge de gérer le registre public des experts comptables et de superviser l’accès à la profession.  Comme souvent, cette affaire commence par une plainte déposée en mars 2019 contre l’Institut concernant l’utilisation des données personnelles de ses membres et stagiaires. L’institut publiait des informations personnelles via une fonction de recherche publique sur son site web à diverses fins :
* Pour des campagnes de candidats aux élections internes de l’institut;
* Pour des newsletters et des invitations à des événements, parfois en partenariat avec des entreprises commerciales.

Une enquête est ouverte et celle-ci a permis de révéler plusieurs manquements :
– Absence de base légale valide (article 6 RGPD) : les données publiées sur le moteur de recherche public ne reposaient pas sur une justification légale claire.
– Non-respect du principe de transparence (article 5.1.a RGPD) : les membres n’étaient pas suffisamment informés de l’utilisation de leurs données à des fins marketing ou pour les élections internes.
– Violations liées à la sécurité des données (articles 32 et 33 RGPD) : un usage non autorisé des informations par des candidats a révélé des failles de contrôle sur les données accessibles en ligne.
– Absence d’un Délégué à la Protection des Données (DPD) (article 37 RGPD) : l’institut n’avait pas nommé de DPD, en violation des obligations des entités de droit public.

En conséquence, une amende de 25 000 € a été imposée pour les manquements constatés, répartie entre les violations des bases légales, de la transparence, et de l’obligation de désigner un DPD. L’institut est également sommé de se mettre en conformité avec la réglementation.

Disponible sur: autoriteprotectiondonnees.be

UODO (autorité polonaise)

Selon l’autorité polonaise, la loi locale oblige les hôpitaux à publier des données concernant la santé 

Les règles concernant la liquidation des dépôts des biens et des valeurs non réclamés par les patients doivent être adaptées aux principes de protection des données personnelles. Le président de l’UODO, Mirosław Wróblewski, a formulé une telle demande à la ministre de la santé, Izabela Leszczyna.

Les administrations des hôpitaux et d’autres établissements de santé sont notamment tenus de publier les données personnelles de ces patients dans un journal local ou dans le Bulletin d’Information Publique. Cela leur est imposé par la loi sur la liquidation des dépôts non réclamés. De cette manière, l’établissement de santé (par exemple, un hôpital psychiatrique) divulgue qu’une personne donnée était son patient et, par conséquent, révèle indirectement des données concernant la santé de cette personne. La publication de telles données peut conduire à un traitement de données personnelles de manière non proportionnelle à l’objectif fixé, qui est le remboursement du dépôt, et donc à une violation des principes de traitement des données personnelles énoncés dans le RGPD (y compris le principe de minimisation des données). Pour cette raison, le président de l’UODO demande à la ministre de la santé de prendre l’initiative de modifier les dispositions législatives dans ce domaine.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut