Europe

NOYB – None of your business

Le microciblage politique de la Commission européenne est illégal

NOYB gagne la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles « sensibles » sur leurs opinions politiques. La Commission européenne a tenté d’influencer les opinions politiques aux Pays-Bas. Dans le cadre de la lutte contentieuse autour du très critiqué règlement sur le contrôle des chats (une proposition de loi européenne qui pourrait compromettre toutes les communications en ligne chiffrées en permettant aux autorités de lire les chats en ligne), la Commission européenne a identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement. Pour tenter de « renverser » les opinions aux Pays-Bas, la Commission s’est rendue sur X/Twitter et a publié des messages faisant indirectement la promotion de ce règlement. […] Dans ce cadre, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités.

Le CEPD a ainsi adressé un blâme à la Commission, précisant qu’elle était un responsable du traitement et qu’elle était pleinement responsable du ciblage illégal sur la plateforme.
Plus d’informations ci-dessous !

EU Commission micro-targeting

Disponible sur: noyb.eu

ICO (autorité anglaise)

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants.

L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir  délivré des avis d’exécution après avoir constaté qu’elles avaient passé de nombreux appels téléphoniques non sollicités à des personnes – qui avaient choisi de ne pas recevoir d’appels commerciaux – pour tenter de leur vendre une assurance-vie et des solutions de gestion de la dette:

1- Breathe Services Ltd (BSL), une société de conseil en matière d’endettement basée à Bolton, a d’abord attiré l’attention de l’autorité dans le cadre d’une enquête plus large sur des plaintes reçues concernant des appels téléphoniques non sollicités adressés à des personnes potentiellement vulnérables. Dans une tentative infructueuse de dissimuler sa véritable identité, BSL s’est avérée avoir usurpé son numéro de téléphone sortant en présentant plus de 1 000 numéros de téléphone différents lors des appels. L’enquête a révélé qu’entre mars et juillet 2022 et entre octobre et décembre 2022, BSL a bombardé les gens avec 4 376 037 appels de marketing direct non sollicités à des numéros qui avaient été enregistrés auprès du Telephone Preference Service (TPS). Cela a donné lieu à 58 plaintes auprès du TPS et à 193 autres plaintes auprès de l’ICO. Au cours de l’enquête, l’ICO a également découvert BSL avait délibérément tenté de dissimuler ses actions et avait cessé de coopérer avec l’ICO.
Conséquence pour l’entreprise ? Une amende de 170 000 livres sterling [soit quelques centimes par appel].

2- Money Bubble Ltd (MBL), une société de conseil financier basée à Oldham, a entre octobre et novembre 2022, la société a effectué 168 852 appels de spam, ce qui a donné lieu à plusieurs autres plaintes auprès de l’ICO et du TPS. MBL n’a pas prouvé que les personnes dont le numéro a été appelé avaient consenti à recevoir des appels de la société. Une amende de 120 000 livres sterling lui a été infligée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informatique et Libertés (article 82) ainsi qu’à la lumière de ses lignes directrices, de la recommandation sur les traceurs et du rapport final dédié aux bannières cookies adopté par le Comité européen de la protection des données (CEPD) le 17 janvier 2023.

C’est sur la base de ces éléments qu’à l’issue de l’instruction de plaintes, la CNIL a mis en demeure plusieurs éditeurs de site web de modifier leur bannière car :
* la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter ;
* ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 12 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 12 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Examen d’un projet de délibération portant avis sur un projet d’arrêté autorisant la création d’un traitement automatisé dénommé « DALIA » ;
* Communication sur l’Assemblée mondiale pour la protection de la vie privée (GPA en anglais) après sa réunion annuelle à Jersey fin octobre 2024 ;
* Communication sur la situation de l’Association Francophone des Autorités de protection des données (AFAPDP) après sa réunion à Jersey le 28 octobre 2024 ;
* Communication relative au projet de certification européenne pour les sous-traitants, porté par la CNIL ;
* Présentation du projet de règlement européen établissant des règles de procédures supplémentaires relatives à l’application du RGPD ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 10 août 2016 autorisant la création d’un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;

Partie II (sans débats) :
* Examen d’un projet de délibération portant avis sur un projet de décret sur la création d’un traitement de données à caractère personnel relatif au modèle de financement des établissements et services sociaux et médico-sociaux accompagnant des personnes mineures et jeunes en situation de handicap ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 janvier 1993 autorisant la mise en place d’un système automatisé permanent d’information sur les retraites ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 12 mai 2022 relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé.

Disponible sur: CNIL.fr

NOYB – None of your business

BeReal : L’application qui n’accepte pas de réponse négative 

Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l’utilisation de leurs données personnelles à des fins publicitaires. Jusqu’ici, tout va bien, mais BeReal veut imposer un choix précis : si les utilisateurs cliquent sur « accepter », ils ne verront plus jamais la bannière de consentement. En revanche, s’ils osent cliquer sur « rejeter », la bannière apparaîtra tous les jours – jusqu’à la fin de leur vie, ou jusqu’à ce qu’ils cliquent sur le bouton « droit » et acceptent. La dernière tendance en matière de « dark pattern » est d’ennuyer les gens pour qu’ils acceptent.

A person holding a hammer tries to hit buttons labeled "NO", but doesn't manage to do it. Above, there is the slogan "Agree to tracking?"

Disponible sur: noyb.eu

ICO (autorité anglaise)

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles

Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à l’issue d’une enquête menée par ses services. Manjra R., 44 ans, originaire de Bolton, dirigeait une équipe chargée des demandes d’indemnisation pour Markerstudy Insurance Services Limited (MISL), basée dans le centre de Manchester. Son comportement illégal a été découvert après que MISL a signalé à l’ICO qu’elle soupçonnait un employé d’accéder illégalement à ses systèmes.

Des assureurs tiers avaient soulevé des préoccupations concernant 185 demandes d’indemnisation suspectes, et une enquête interne a révélé que Manjra était impliqué dans 160 de ces demandes sans raison légitime. Parmi celles-ci, 147 n’avaient pas été transmises à l’équipe de Manjra et aucune raison légitime n’a pu être trouvée pour qu’il y accède. Lorsque MISL a examiné ses systèmes, ils ont découvert que Manjra avait accédé à plus de 32 000 dossiers d’assurance les week-ends, alors qu’il n’était pas supposé travailler. L’enquête de l’ICO, qui comprenait une perquisition au domicile de Manjra, a révélé qu’il envoyait à une autre personne des détails sur les données personnelles auxquelles il avait accédé par téléphone portable.

Lors d’une audience à la Manchester Crown Court le 30 octobre 2024, Manjra a plaidé coupable d’une infraction à la loi de 1990 sur l’utilisation abusive des ordinateurs (Computer Misuse Act 1990), relative à l’accès illégal à des données personnelles contenues dans des ordinateurs. Manjra a été condamné à Manchester Crown Court le mercredi 11 novembre à une peine de six mois de prison, suspendue pendant deux ans, et à 150 heures de travail non rémunéré.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Publicités insérées entre les courriels : sanction de 50 millions d’euros à l’encontre de la société ORANGE

Le 14 novembre 2024, la CNIL a sanctionné la société ORANGE d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement. ORANGE met à disposition de ses clients un service de messagerie électronique (« Mail Orange »). À la suite de plusieurs contrôles, la CNIL a constaté que la société affichait, entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE). Par ailleurs, les contrôles réalisés par la CNIL ont également permis de constater que, lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.

Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :
– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard.
Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées (plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception) ainsi que de la position de la société sur le marché, qui est le premier opérateur de télécommunications en France. La formation restreinte a également tenu compte de l’avantage financier tiré du manquement relatif aux publicités insérées entre les courriels.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

Déclaration sur l’approche de l’autorité anglaise vis à vis du secteur public

Publié aujourd’hui, le bilan de l’essai de deux ans montre que l’approche du secteur public adoptée par l’ICO a eu un impact, avec quelques réalisations notables, des domaines où il reste à faire, des défis inattendus et des conséquences involontaires. L’examen montre clairement que la réglementation s’applique à tout un éventail de situations, étayées par la théorie politique mais aussi par les différentes approches adoptées par les autorités internationales chargées de la protection des données. Plutôt que d’être une action définitive, la réglementation est une série d’activités telles que l’orientation, l’engagement, les campagnes publiques et l’application, qui peuvent être combinées pour favoriser le changement. Les amendes ont leur place, mais il existe aussi d’autres moyens de réglementer. Les mesures d’incitation et de dissuasion ne fonctionnent pas de la même manière dans tous les secteurs de l’économie.

Au cours de la période d’essai, nous avons décidé de commencer à publier les blâmes sur notre site web, avec environ 60 blâmes adressés à des organismes publics. Nous avons constaté que des changements significatifs ont été apportés par les organisations à la suite d’un blâme. L’étude a montré que les autorités publiques considéraient la publication des blâmes comme un moyen de dissuasion efficace, principalement en raison de l’atteinte à la réputation et de l’impact potentiel sur la confiance du public, ainsi que de la manière dont ils peuvent être utilisés pour attirer l’attention des hauts responsables. Les services de l’administration centrale ont fait état d’un engagement accru et de changements positifs à la suite des réprimandes, en particulier grâce à notre interaction régulière avec le réseau des chefs des opérations de l’administration. En revanche, les organisations du secteur public au sens large ont fait preuve d’une sensibilisation limitée, ce qui signifie que nous devons faire davantage pour partager les meilleures pratiques et les enseignements tirés.

L’étude a également mis en évidence des domaines susceptibles d’être améliorés, notamment la manière dont nous devrions préciser quelles organisations entrent dans le champ d’application de l’approche du secteur public et quels types d’infractions peuvent donner lieu à une amende. Il a également montré qu’il restait du travail à faire pour atteindre des organisations du secteur public plus larges et mettre en place des interventions ciblées. En réfléchissant aux deux dernières années et en me fondant sur les résultats de l’examen, le Président de l’ICO a décidé de poursuivre l’approche du secteur public. « Mais j’ai également écouté les commentaires et je vais clarifier davantage ses paramètres. C’est pourquoi je lance une consultation sur le champ d’application de l’approche et sur les facteurs et circonstances qui justifieraient l’imposition d’une amende à une autorité publique. Vous pouvez en savoir plus et répondre à notre consultation sur notre site web avant le 31 janvier 2025. Nous utiliserons les contributions reçues pour informer et finaliser notre approche. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Consultation publique sur les référentiels santé : la CNIL publie la synthèse des contributions

La première étape de la refonte des référentiels « santé » adoptés par la CNIL touche à sa fin avec la présentation des résultats de la consultation publique à tous les acteurs impliqués. Celle-ci a permis d’établir un bilan de ces référentiels et de recueillir les besoins d’évolution des organismes qui mettent en œuvre des traitements dans le domaine de la santé. Des éléments plus détaillés, sur chaque thématique couverte par le questionnaire ayant servi de support à la consultation, seront présentés dans le cadre du webinaire organisé par la CNIL le 10 décembre prochain. Il permettra à toutes les personnes intéressées de poser des questions avant la constitution de groupes de travail.

Disponible sur: CNIL.fr

DPA (autorité grecque)

Vodafone condamné en Grèce à 20 000 euros d’amende pour avoir mal répondu à une demande de droit d’accès

Ce 02 décembre 2024, l’autorité grecque a publié une décision de sanction (20 000 euros d’amende) à l’encontre de Vodafone en raison de problèmes dans la gestion de l’exercice des droits des personnes. Le plaignant, abonné à « My Vodafone », a déposé une plainte auprès de l’autorité de protection des données en raison de l’insatisfaction liée à l’accès à ses données personnelles. En 2019, il a demandé à Vodafone des informations conformément à l’article 15 du RGPD, couvrant un an de données personnelles et leurs traitements associés. Vodafone a répondu dans les délais, mais l’utilisateur a jugé les informations fournies insuffisantes. En effet, Lorsque le plaignant a demandé des informations supplémentaires, notamment sur les métadonnées de communication, Vodafone a refusé, en invoquant :
* Des restrictions légales liées à la confidentialité des communications électroniques, empêchant selon elle la transmission de certaines métadonnées.
* Une impossibilité technique, déclarant que ces données n’étaient pas accessibles ou collectées pour des besoins d’accès spécifiques.

L’enquête de l’autorité a permis de confirmer les faits et de relever plusieurs manquements :
* Une violation du droit d’accès (article 15 du RGPD) : Vodafone a manqué à fournir des réponses personnalisées et détaillées. Elle a orienté le plaignant vers des documents généraux (politiques de confidentialité) au lieu de fournir des informations spécifiques.
* Un refus d’accès aux métadonnées infondé  : Vodafone a invoqué des obligations légales pour justifier la limitation d’accès à certaines données, mais ces justifications n’étaient pas conformes aux exigences du RGPD.
* Le non-respect des obligations de transparence (articles 12 et 15) : L’entreprise n’a pas clarifié pleinement les traitements effectués avec les données demandées, et n’a transmis que des informations génériques en renvoyant à sa politique de confidentialité.

L’Autorité a ainsi condamné Vodafone à une amende de 20 000 euros et lui a ordonné de se mettre en conformité avec la réglementation.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut