UE

NOYB – None of your business

Le microciblage politique de la Commission européenne est illégal

NOYB gagne la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles « sensibles » sur leurs opinions politiques. La Commission européenne a tenté d’influencer les opinions politiques aux Pays-Bas. Dans le cadre de la lutte contentieuse autour du très critiqué règlement sur le contrôle des chats (une proposition de loi européenne qui pourrait compromettre toutes les communications en ligne chiffrées en permettant aux autorités de lire les chats en ligne), la Commission européenne a identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement. Pour tenter de « renverser » les opinions aux Pays-Bas, la Commission s’est rendue sur X/Twitter et a publié des messages faisant indirectement la promotion de ce règlement. […] Dans ce cadre, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités.

Le CEPD a ainsi adressé un blâme à la Commission, précisant qu’elle était un responsable du traitement et qu’elle était pleinement responsable du ciblage illégal sur la plateforme.
Plus d’informations ci-dessous !

EU Commission micro-targeting

Disponible sur: noyb.eu

CNIL

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informatique et Libertés (article 82) ainsi qu’à la lumière de ses lignes directrices, de la recommandation sur les traceurs et du rapport final dédié aux bannières cookies adopté par le Comité européen de la protection des données (CEPD) le 17 janvier 2023.

C’est sur la base de ces éléments qu’à l’issue de l’instruction de plaintes, la CNIL a mis en demeure plusieurs éditeurs de site web de modifier leur bannière car :
* la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter ;
* ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 12 décembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 12 décembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Examen d’un projet de délibération portant avis sur un projet d’arrêté autorisant la création d’un traitement automatisé dénommé « DALIA » ;
* Communication sur l’Assemblée mondiale pour la protection de la vie privée (GPA en anglais) après sa réunion annuelle à Jersey fin octobre 2024 ;
* Communication sur la situation de l’Association Francophone des Autorités de protection des données (AFAPDP) après sa réunion à Jersey le 28 octobre 2024 ;
* Communication relative au projet de certification européenne pour les sous-traitants, porté par la CNIL ;
* Présentation du projet de règlement européen établissant des règles de procédures supplémentaires relatives à l’application du RGPD ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 10 août 2016 autorisant la création d’un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;

Partie II (sans débats) :
* Examen d’un projet de délibération portant avis sur un projet de décret sur la création d’un traitement de données à caractère personnel relatif au modèle de financement des établissements et services sociaux et médico-sociaux accompagnant des personnes mineures et jeunes en situation de handicap ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 janvier 1993 autorisant la mise en place d’un système automatisé permanent d’information sur les retraites ;
* Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 12 mai 2022 relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé.

Disponible sur: CNIL.fr

NOYB – None of your business

BeReal : L’application qui n’accepte pas de réponse négative 

Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l’utilisation de leurs données personnelles à des fins publicitaires. Jusqu’ici, tout va bien, mais BeReal veut imposer un choix précis : si les utilisateurs cliquent sur « accepter », ils ne verront plus jamais la bannière de consentement. En revanche, s’ils osent cliquer sur « rejeter », la bannière apparaîtra tous les jours – jusqu’à la fin de leur vie, ou jusqu’à ce qu’ils cliquent sur le bouton « droit » et acceptent. La dernière tendance en matière de « dark pattern » est d’ennuyer les gens pour qu’ils acceptent.

A person holding a hammer tries to hit buttons labeled "NO", but doesn't manage to do it. Above, there is the slogan "Agree to tracking?"

Disponible sur: noyb.eu

CNIL

Publicités insérées entre les courriels : sanction de 50 millions d’euros à l’encontre de la société ORANGE

Le 14 novembre 2024, la CNIL a sanctionné la société ORANGE d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement. ORANGE met à disposition de ses clients un service de messagerie électronique (« Mail Orange »). À la suite de plusieurs contrôles, la CNIL a constaté que la société affichait, entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE). Par ailleurs, les contrôles réalisés par la CNIL ont également permis de constater que, lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.

Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :
– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard.
Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées (plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception) ainsi que de la position de la société sur le marché, qui est le premier opérateur de télécommunications en France. La formation restreinte a également tenu compte de l’avantage financier tiré du manquement relatif aux publicités insérées entre les courriels.

Disponible sur: CNIL.fr

CNIL

Consultation publique sur les référentiels santé : la CNIL publie la synthèse des contributions

La première étape de la refonte des référentiels « santé » adoptés par la CNIL touche à sa fin avec la présentation des résultats de la consultation publique à tous les acteurs impliqués. Celle-ci a permis d’établir un bilan de ces référentiels et de recueillir les besoins d’évolution des organismes qui mettent en œuvre des traitements dans le domaine de la santé. Des éléments plus détaillés, sur chaque thématique couverte par le questionnaire ayant servi de support à la consultation, seront présentés dans le cadre du webinaire organisé par la CNIL le 10 décembre prochain. Il permettra à toutes les personnes intéressées de poser des questions avant la constitution de groupes de travail.

Disponible sur: CNIL.fr

DPA (autorité grecque)

Vodafone condamné en Grèce à 20 000 euros d’amende pour avoir mal répondu à une demande de droit d’accès

Ce 02 décembre 2024, l’autorité grecque a publié une décision de sanction (20 000 euros d’amende) à l’encontre de Vodafone en raison de problèmes dans la gestion de l’exercice des droits des personnes. Le plaignant, abonné à « My Vodafone », a déposé une plainte auprès de l’autorité de protection des données en raison de l’insatisfaction liée à l’accès à ses données personnelles. En 2019, il a demandé à Vodafone des informations conformément à l’article 15 du RGPD, couvrant un an de données personnelles et leurs traitements associés. Vodafone a répondu dans les délais, mais l’utilisateur a jugé les informations fournies insuffisantes. En effet, Lorsque le plaignant a demandé des informations supplémentaires, notamment sur les métadonnées de communication, Vodafone a refusé, en invoquant :
* Des restrictions légales liées à la confidentialité des communications électroniques, empêchant selon elle la transmission de certaines métadonnées.
* Une impossibilité technique, déclarant que ces données n’étaient pas accessibles ou collectées pour des besoins d’accès spécifiques.

L’enquête de l’autorité a permis de confirmer les faits et de relever plusieurs manquements :
* Une violation du droit d’accès (article 15 du RGPD) : Vodafone a manqué à fournir des réponses personnalisées et détaillées. Elle a orienté le plaignant vers des documents généraux (politiques de confidentialité) au lieu de fournir des informations spécifiques.
* Un refus d’accès aux métadonnées infondé  : Vodafone a invoqué des obligations légales pour justifier la limitation d’accès à certaines données, mais ces justifications n’étaient pas conformes aux exigences du RGPD.
* Le non-respect des obligations de transparence (articles 12 et 15) : L’entreprise n’a pas clarifié pleinement les traitements effectués avec les données demandées, et n’a transmis que des informations génériques en renvoyant à sa politique de confidentialité.

L’Autorité a ainsi condamné Vodafone à une amende de 20 000 euros et lui a ordonné de se mettre en conformité avec la réglementation.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les archives nationales néerlandaises mises en garde concernant la diffusion en ligne de documents relatifs à la Seconde Guerre Mondiale

Plusieurs agences travaillent depuis longtemps sur un projet de divulgation complète en ligne et de possibilité de recherche du Centraal Archief Bijzondere Rechtspleging (CABR), les plus grandes archives de guerre des Pays-Bas. Le CABR contient des dossiers sur des personnes soupçonnées d’avoir collaboré pendant la Seconde Guerre mondiale. Ces archives présentent un grand intérêt pour le public et offrent de nouvelles possibilités de découvrir ce qui s’est passé dans le passé.

Cependant, la manière dont les Archives nationales veulent rendre le CABR public en ligne est contraire à la loi sur les archives et au règlement général sur la protection des données (RGPD). Les Archives nationales ont été informées de ce risque à plusieurs reprises depuis 2022, par des conseillers internes et externes à l’organisation, mais n’ont pas suffisamment tenu compte de ces avertissements. C’est pourquoi l’Autorité des données personnelles (AP) se sent aujourd’hui obligée d’émettre un avertissement formel de ne pas divulguer le CABR comme prévu à partir du 1er janvier 2025.

En effet, le CABR contient environ 485.000 dossiers de personnes soupçonnées de collaboration et/ou jugées pour cette raison. Les archives contiennent de nombreux dossiers criminels, y compris ceux de personnes qui peuvent encore être en vie, par exemple dans des rapports de tribunal, des interrogatoires et des déclarations de témoins. Les dossiers contiennent également des documents personnels tels que des lettres, des journaux intimes et des photographies. Par ailleurs, le CABR contient également de nombreuses données sensibles concernant, par exemple, la religion, l’appartenance politique, la santé ou l’origine ethnique des personnes.

Ces données sensibles concernent non seulement les suspects, mais aussi, par exemple, les victimes, les témoins et les parents qui pourraient encore être en vie en 2025. En pratique, la divulgation prévue par les Archives nationales signifie que n’importe quel internaute, n’importe où dans le monde, peut effectuer des recherches dans tous les dossiers d’archives de guerre publiés en ligne à n’importe quel moment de la journée. Par tous les noms et prénoms imaginables et par tous les mots-clés imaginables. Tout le monde peut donc consulter les archives sans limite. Cela comporte également le risque que des informations sensibles provenant des archives soient diffusées publiquement par le biais des médias sociaux, par exemple. Dans l’ensemble, cette accessibilité illimitée présente des risques inutilement élevés pour la vie privée.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

L’autorité belge impose une amende de 25 000 euros contre l’Institut des Conseillers Fiscaux et des Comptables (ITAA)

Aujourd’hui, l’autorité belge a publié une décision de sanction à l’encontre de l’Institut des Conseillers Fiscaux et des Comptables (ITAA), anciennement le BIBF (Institut des Experts-Comptables et des Fiscalistes agréés), qui est l’entité en charge de gérer le registre public des experts comptables et de superviser l’accès à la profession.  Comme souvent, cette affaire commence par une plainte déposée en mars 2019 contre l’Institut concernant l’utilisation des données personnelles de ses membres et stagiaires. L’institut publiait des informations personnelles via une fonction de recherche publique sur son site web à diverses fins :
* Pour des campagnes de candidats aux élections internes de l’institut;
* Pour des newsletters et des invitations à des événements, parfois en partenariat avec des entreprises commerciales.

Une enquête est ouverte et celle-ci a permis de révéler plusieurs manquements :
– Absence de base légale valide (article 6 RGPD) : les données publiées sur le moteur de recherche public ne reposaient pas sur une justification légale claire.
– Non-respect du principe de transparence (article 5.1.a RGPD) : les membres n’étaient pas suffisamment informés de l’utilisation de leurs données à des fins marketing ou pour les élections internes.
– Violations liées à la sécurité des données (articles 32 et 33 RGPD) : un usage non autorisé des informations par des candidats a révélé des failles de contrôle sur les données accessibles en ligne.
– Absence d’un Délégué à la Protection des Données (DPD) (article 37 RGPD) : l’institut n’avait pas nommé de DPD, en violation des obligations des entités de droit public.

En conséquence, une amende de 25 000 € a été imposée pour les manquements constatés, répartie entre les violations des bases légales, de la transparence, et de l’obligation de désigner un DPD. L’institut est également sommé de se mettre en conformité avec la réglementation.

Disponible sur: autoriteprotectiondonnees.be

UODO (autorité polonaise)

Selon l’autorité polonaise, la loi locale oblige les hôpitaux à publier des données concernant la santé 

Les règles concernant la liquidation des dépôts des biens et des valeurs non réclamés par les patients doivent être adaptées aux principes de protection des données personnelles. Le président de l’UODO, Mirosław Wróblewski, a formulé une telle demande à la ministre de la santé, Izabela Leszczyna.

Les administrations des hôpitaux et d’autres établissements de santé sont notamment tenus de publier les données personnelles de ces patients dans un journal local ou dans le Bulletin d’Information Publique. Cela leur est imposé par la loi sur la liquidation des dépôts non réclamés. De cette manière, l’établissement de santé (par exemple, un hôpital psychiatrique) divulgue qu’une personne donnée était son patient et, par conséquent, révèle indirectement des données concernant la santé de cette personne. La publication de telles données peut conduire à un traitement de données personnelles de manière non proportionnelle à l’objectif fixé, qui est le remboursement du dépôt, et donc à une violation des principes de traitement des données personnelles énoncés dans le RGPD (y compris le principe de minimisation des données). Pour cette raison, le président de l’UODO demande à la ministre de la santé de prendre l’initiative de modifier les dispositions législatives dans ce domaine.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut