Royaume-Uni

ICO (autorité anglaise)

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants.

L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir  délivré des avis d’exécution après avoir constaté qu’elles avaient passé de nombreux appels téléphoniques non sollicités à des personnes – qui avaient choisi de ne pas recevoir d’appels commerciaux – pour tenter de leur vendre une assurance-vie et des solutions de gestion de la dette:

1- Breathe Services Ltd (BSL), une société de conseil en matière d’endettement basée à Bolton, a d’abord attiré l’attention de l’autorité dans le cadre d’une enquête plus large sur des plaintes reçues concernant des appels téléphoniques non sollicités adressés à des personnes potentiellement vulnérables. Dans une tentative infructueuse de dissimuler sa véritable identité, BSL s’est avérée avoir usurpé son numéro de téléphone sortant en présentant plus de 1 000 numéros de téléphone différents lors des appels. L’enquête a révélé qu’entre mars et juillet 2022 et entre octobre et décembre 2022, BSL a bombardé les gens avec 4 376 037 appels de marketing direct non sollicités à des numéros qui avaient été enregistrés auprès du Telephone Preference Service (TPS). Cela a donné lieu à 58 plaintes auprès du TPS et à 193 autres plaintes auprès de l’ICO. Au cours de l’enquête, l’ICO a également découvert BSL avait délibérément tenté de dissimuler ses actions et avait cessé de coopérer avec l’ICO.
Conséquence pour l’entreprise ? Une amende de 170 000 livres sterling [soit quelques centimes par appel].

2- Money Bubble Ltd (MBL), une société de conseil financier basée à Oldham, a entre octobre et novembre 2022, la société a effectué 168 852 appels de spam, ce qui a donné lieu à plusieurs autres plaintes auprès de l’ICO et du TPS. MBL n’a pas prouvé que les personnes dont le numéro a été appelé avaient consenti à recevoir des appels de la société. Une amende de 120 000 livres sterling lui a été infligée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles

Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à l’issue d’une enquête menée par ses services. Manjra R., 44 ans, originaire de Bolton, dirigeait une équipe chargée des demandes d’indemnisation pour Markerstudy Insurance Services Limited (MISL), basée dans le centre de Manchester. Son comportement illégal a été découvert après que MISL a signalé à l’ICO qu’elle soupçonnait un employé d’accéder illégalement à ses systèmes.

Des assureurs tiers avaient soulevé des préoccupations concernant 185 demandes d’indemnisation suspectes, et une enquête interne a révélé que Manjra était impliqué dans 160 de ces demandes sans raison légitime. Parmi celles-ci, 147 n’avaient pas été transmises à l’équipe de Manjra et aucune raison légitime n’a pu être trouvée pour qu’il y accède. Lorsque MISL a examiné ses systèmes, ils ont découvert que Manjra avait accédé à plus de 32 000 dossiers d’assurance les week-ends, alors qu’il n’était pas supposé travailler. L’enquête de l’ICO, qui comprenait une perquisition au domicile de Manjra, a révélé qu’il envoyait à une autre personne des détails sur les données personnelles auxquelles il avait accédé par téléphone portable.

Lors d’une audience à la Manchester Crown Court le 30 octobre 2024, Manjra a plaidé coupable d’une infraction à la loi de 1990 sur l’utilisation abusive des ordinateurs (Computer Misuse Act 1990), relative à l’accès illégal à des données personnelles contenues dans des ordinateurs. Manjra a été condamné à Manchester Crown Court le mercredi 11 novembre à une peine de six mois de prison, suspendue pendant deux ans, et à 150 heures de travail non rémunéré.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur l’approche de l’autorité anglaise vis à vis du secteur public

Publié aujourd’hui, le bilan de l’essai de deux ans montre que l’approche du secteur public adoptée par l’ICO a eu un impact, avec quelques réalisations notables, des domaines où il reste à faire, des défis inattendus et des conséquences involontaires. L’examen montre clairement que la réglementation s’applique à tout un éventail de situations, étayées par la théorie politique mais aussi par les différentes approches adoptées par les autorités internationales chargées de la protection des données. Plutôt que d’être une action définitive, la réglementation est une série d’activités telles que l’orientation, l’engagement, les campagnes publiques et l’application, qui peuvent être combinées pour favoriser le changement. Les amendes ont leur place, mais il existe aussi d’autres moyens de réglementer. Les mesures d’incitation et de dissuasion ne fonctionnent pas de la même manière dans tous les secteurs de l’économie.

Au cours de la période d’essai, nous avons décidé de commencer à publier les blâmes sur notre site web, avec environ 60 blâmes adressés à des organismes publics. Nous avons constaté que des changements significatifs ont été apportés par les organisations à la suite d’un blâme. L’étude a montré que les autorités publiques considéraient la publication des blâmes comme un moyen de dissuasion efficace, principalement en raison de l’atteinte à la réputation et de l’impact potentiel sur la confiance du public, ainsi que de la manière dont ils peuvent être utilisés pour attirer l’attention des hauts responsables. Les services de l’administration centrale ont fait état d’un engagement accru et de changements positifs à la suite des réprimandes, en particulier grâce à notre interaction régulière avec le réseau des chefs des opérations de l’administration. En revanche, les organisations du secteur public au sens large ont fait preuve d’une sensibilisation limitée, ce qui signifie que nous devons faire davantage pour partager les meilleures pratiques et les enseignements tirés.

L’étude a également mis en évidence des domaines susceptibles d’être améliorés, notamment la manière dont nous devrions préciser quelles organisations entrent dans le champ d’application de l’approche du secteur public et quels types d’infractions peuvent donner lieu à une amende. Il a également montré qu’il restait du travail à faire pour atteindre des organisations du secteur public plus larges et mettre en place des interventions ciblées. En réfléchissant aux deux dernières années et en me fondant sur les résultats de l’examen, le Président de l’ICO a décidé de poursuivre l’approche du secteur public. « Mais j’ai également écouté les commentaires et je vais clarifier davantage ses paramètres. C’est pourquoi je lance une consultation sur le champ d’application de l’approche et sur les facteurs et circonstances qui justifieraient l’imposition d’une amende à une autorité publique. Vous pouvez en savoir plus et répondre à notre consultation sur notre site web avant le 31 janvier 2025. Nous utiliserons les contributions reçues pour informer et finaliser notre approche. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d’assistance au contentieux). Ce Code de conduite est le fruit de l’article 40 du « UK GDPR » [équivalent de l’article 40 du RGPD européen], selon lequel les organisations peuvent créer des codes de conduite qui identifient et abordent les questions de protection des données qui sont importantes pour leur secteur. Ce code, auquel les enquêteurs du secteur privé peuvent adhérer, apportera certitude et assurance à ceux qui utilisent leurs services, en garantissant que les enquêteurs se conforment aux exigences du GDPR britannique.

Il aidera les enquêteurs à relever le défi de mener des enquêtes tout en respectant le droit à la vie privée des personnes. Le code aborde les principales questions de protection des données auxquelles est confronté le secteur des enquêtes privées. Par exemple, les rôles et responsabilités des membres du code lorsqu’ils agissent en tant que contrôleurs de données, contrôleurs conjoints ou processeurs, et quand et comment réaliser une évaluation de l’impact de la protection des données. Il aide également les membres du code à identifier et à documenter la base légale correcte pour le traitement invisible – y compris la surveillance secrète, les dispositifs de repérage, les vérifications d’antécédents et la surveillance des médias sociaux. D’autres conseils sont également inclus, avec des exemples, pour tracer et localiser légalement des personnes.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Effet domino : l’impact dévastateur des violations de données

Imaginez une personne qui vient d’échapper à une relation abusive et dont l’adresse confidentielle est exposée à la suite d’une violation de données. Ou pensez à une personne vivant avec le VIH dont les informations médicales sont accidentellement divulguées. Il ne s’agit pas de scénarios rares ou exagérés – ils sont réels et se produisent. De telles violations peuvent entraîner la stigmatisation, la peur, la discrimination, voire un danger physique. Pour ceux qui se trouvent déjà dans une situation difficile, les effets peuvent être dévastateurs et changer leur vie.

La protection des données n’a jamais été une affaire d’ordinateurs ou de robots, mais de personnes. Les informations qui nous sont confiées ne se limitent pas à un ensemble de chiffres ou de détails : elles reflètent des vies individuelles. Pourtant, les chiffres révélés aujourd’hui par l’ICO montrent que 55 % des adultes ont vu leurs données perdues ou volées. Cela représente près de 30 millions de personnes. Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées. Il est alarmant de constater que 30 % des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables. Plus inquiétant encore, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue le sentiment de trahison.

Ces chiffres mettent en lumière un problème crucial : trop d’organisations ne mesurent pas pleinement le préjudice qu’elles causent lorsqu’elles traitent mal des données personnelles. Lorsqu’une violation de données se produit, il ne s’agit pas seulement d’une erreur administrative, mais d’une incapacité à protéger quelqu’un. Dans de nombreux cas, si cette personne se trouve dans une situation vulnérable, elle est déjà confrontée à d’innombrables défis personnels ou risque de subir des préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Mesures prises à l’encontre de United Utilities pour manquement à la transparence

L’ICO a annoncé avoir émis une recommandation de pratique à United Utilities pour ne pas avoir traité correctement les demandes d’informations environnementales importantes émanant du public.

Les compagnies des eaux ont l’obligation légale de mettre à disposition des informations sur l’environnement en vertu des règlements sur l’information environnementale (EIR), à la fois de manière proactive et sur demande du public. À la suite de nombreuses plaintes concernant son manque de transparence, l’autorité a ordonné à United Utilities d’améliorer d’urgence son traitement des demandes d’informations environnementales.

L’enquête de l’ICO a révélé que United Utilities avait à plusieurs reprises omis de répondre à des demandes d’information dans le délai légal de 20 jours ouvrables. À la suite des plaintes déposées, il a également constaté que la compagnie des eaux refusait souvent de répondre aux demandes sous prétexte que les informations demandées n’étaient pas de nature environnementale. Nous avons maintenant demandé à United Utilities d’adopter une interprétation beaucoup plus large des informations environnementales, conformément aux décisions prises par le commissaire, et de s’assurer qu’elle traite correctement les demandes légitimes au titre du règlement d’exemption par catégorie. La recommandation de pratique décrit d’autres mesures que United Utilities doit prendre pour améliorer sa conformité, notamment la publication proactive des informations fréquemment demandées et la formation de son personnel pour traiter les demandes de manière appropriée.

Le non-respect d’une recommandation de pratique peut entraîner d’autres mesures d’application si l’organisation ne respecte toujours pas la loi.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut