Dernières actualités : données personnelles

Numerama – Cyberguerre

Chronopost victime d’un piratage massif : des millions de données clients en danger

Chronopost, la branche de livraison express du Groupe La Post, a subi une cyberattaque. Des captures de mails partagées sur les réseaux sociaux révèlent que l’entreprise a commencé à informer ses clients depuis le 10 février dernier. Chronopost indique que son système a été compromis le 29 janvier dernier. Une attaque par rançongiciel est exclue et les services devraient continuer à fonctionner normalement. Toutefois, le pirate est parvenu à extraire les données clients.

Disponible sur: numerama.com

AEPD (autorité espagnole)

6 000 euros d’amende pour un journal ayant publié des données personnelles excessives dans un article, incluant des données de santé.

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de PUBLICACIONES Y EDICIONES BARACA 208, S.L.  pour avoir publié un article dans un journal (en l’occurrence, numérique) contenant des données personnelles inutiles. L’affaire a débuté lorsqu’une plainte a été déposée concernant la publication d’un article dans la version digitale du journal de l’entreprise, incluant des données identifiantes (nom, prénom, DNI, domicile) et des données de santé d’une personne.

En réponse, l’AEPD a ouvert une enquête et a estimé :
* Principe de minimisation (article 5 du RGPD) : les données personnelles publiées, notamment le DNI (numéro d’identification), le domicile et les données de santé, sont excessives et non nécessaires par rapport à la finalité informative de l’article,
* Traitement de données de santé (article 9 du RGPD): l’article contenait des données relatives à la santé de A.A.A, alors que le responsable de traitement n’a justifié d’aucune base légale le permettant.

En conséquence, l’AEPD a initialement proposé une amende de 10 000 €. PUBLICACIONES Y EDICIONES BARACA 208, S.L. ayant retiré l’article de son site web, reconnu sa responsabilité et procédé au paiement volontaire, l’entreprise a pu bénéficier d’une réduction de 40% (selon le droit espagnol) ramenant le montant à 6 000 €.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte une déclaration sur l’assurance d’âge, crée un groupe de travail sur l’application de l’IA et donne des recommandations à l’AMA

Lors de sa réunion plénière de février 2025, le Comité européen de la protection des données (CEPD) a adopté trois nouveaux documents / décisions:

1- Dans une déclaration sur l’assurance d’âge, le CEPD énonce dix principes pour le traitement conforme des données personnelles lors de la détermination de l’âge ou de la tranche d’âge d’un individu. La déclaration vise à garantir une approche européenne cohérente de l’assurance d’âge, pour protéger les mineurs tout en respectant les principes de protection des données.

2- Le Comité a également décidé d’étendre le champ d’action du groupe de travail ChatGPT à l’application de l’IA. De plus, les membres du CEPD ont souligné la nécessité de coordonner les actions des autorités de protection des données (APD) concernant les questions sensibles urgentes et à cet effet, un équipe de réponse rapide sera mise en place.

3- Enfin, le CEPD a adopté des recommandations concernant le Code mondial antidopage de l’AMA pour 2027. Lors du traitement des données personnelles à des fins antidopage, il est essentiel de respecter et de protéger les données personnelles des athlètes. Dans de nombreux cas, cela impliquera le traitement de données personnelles sensibles, telles que des données de santé dérivées d’échantillons biologiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

La PIPC établit des normes globales pour l’intelligence artificielle (IA) et les données en collaboration avec la France, le Royaume-Uni, l’Irlande et l’Australie

Dans un communiqué paru ce jour, la PIPC a annoncé avoir organisé le 11 février au matin (heure locale de Paris), dans le cadre du Sommet sur l’action de l’intelligence artificielle (IA) en France, une table ronde de haut niveau sur le thème ‘Gouvernance internationale des données et protection de la vie privée à l’ère de l’IA’ en collaboration avec l’Organisation de coopération et de développement économiques (OCDE) et la Commission nationale de l’informatique et des libertés (CNIL) de France.

Durant cet événement, les cinq agences de protection des données qui ont joué un rôle dominant dans le domaine de la confidentialité de l’IA ont discuté de l’impact et des implications des avancées et de la diffusion de la technologie IA sur la vie privée, du rôle établi des agences de protection des données comme catalyseurs de l’innovation dans l’IA, ainsi que de l’importance de la coopération et de la synergie avec la communauté internationale dans le cadre de l’IA.  Les cinq agences de protection des données ont convenu, lors de cette discussion, que l’obstacle à l’innovation en IA dans un environnement en rapide évolution n’est pas la ‘réglementation’ mais l’ ‘incertitude’, et ont débattu de la nécessité d’une approche basée sur des principes et de moyens pratiques d’exécution tels que des lignes directrices politiques pour réduire cette incertitude réglementaire.

À partir de ces discussions, les cinq agences de protection des données ont confirmé un consensus sur la nécessité d’établir une gouvernance des données qui favorise la promotion de l’innovation en IA tout en protégeant la vie privée et ont signé une déclaration conjointe. Cette déclaration a mis en avant le rôle prépondérant des agences de protection des données pour établir une gouvernance des données en IA digne de confiance sous un principe incitatif à l’innovation (pro-innovation) :
* Explorer diverses possibilités d’application des fondements légaux du traitement des données IA (intérêts légitimes, nécessité contractuelle, etc.) et promouvoir la compréhension commune.
* Évaluation des risques de confidentialité liés à l’IA fondée sur des preuves et des données scientifiques, et mise en œuvre de mesures de sécurité proportionnées.
* Surveillance minutieuse des implications techniques et sociales de l’IA et mise en œuvre adéquate.
* Établissement de dispositifs institutionnels tels que des ‘sandboxes’ réglementaires pour résoudre l’incertitude et soutenir l’innovation.
* Renforcement de la coopération avec les autorités compétentes et divers parties prenantes sur la concurrence, la protection des consommateurs et la propriété intellectuelle.

La Commission sur la protection des données devrait continuer ses efforts de leadership dans les normes internationales en matière de confidentialité des données liées à l’IA lors du Global Privacy Assembly (GPA) qui se tiendra à Séoul en septembre, en se fondant sur ses réalisations et expériences issues du Sommet sur l’action de l’intelligence artificielle (IA) en France.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DVI (autorité lettonne)

#DVI explique : La publication des résultats scolaires des élèves est-elle admissible ?

Les parents et d’autres parties intéressées rapportent de temps à autre à l’autorité que dans les écoles, les résultats quotidiens des élèves et leurs classements sont publiés. C’est l’exemple des résultats des élèves est affiché sur le tableau, avec le nom de chaque élève, sa note moyenne et sa position parmi ses camarades de classe [mais mentionner ces notes à l’oral en distribuant les copies, procédé très classique en France, reviendrait au même]. La question se pose : n’est-ce pas une violation de la protection des données ?

Dans son article, l’autorité estime que si le but de la publication des résultats scolaires est de mettre en avant les élèves les plus performants et de motiver les autres à améliorer leurs résultats, cela ne peut être considéré comme une solution proportionnée. Il convient de noter que cela peut avoir un impact négatif sur les élèves ayant de faibles résultats, qui se classent en bas du classement. Elle estime que les objectifs mentionnés peuvent être atteints en procédant à un traitement des données dans une moindre mesure. En effet, les informations concernant les résultats de chaque enfant et leur position dans le classement peuvent être fournies à chaque enfant et à ses parents de manière individuelle, sans divulguer les données des autres enfants. De même, les écoles peuvent exprimer une reconnaissance publique des meilleurs élèves lors des événements scolaires.

Si l’établissement éducatif peut trouver un moyen d’informer positivement et de manière proportionnelle les autres sur les réussites des élèves, il devrait au préalable informer les enfants et les parents.
Cela leur permettrait de donner leur avis et, si nécessaire, de refuser la publication des données.

Disponible (en letton) sur: dvi.gov.lv
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

L’autorité finlandaise publie son plan de contrôle pour 2025-2027

Le Bureau du Contrôleur de la protection des données a aujourd’hui publié son plan de contrôle pour l’année 2025. Une dizaine de vérifications sont prévues. L’autorité note que c’est la première fois qu’un plan pluriannuel est mis en place, car il comprend un plan de vérification pouvant être complété pour les années 2026-2027. Les vérifications seront particulièrement axées sur :
* le traitement des données personnelles que les individus ne peuvent pas superviser directement. Ce type d’activité est particulièrement présent dans le secteur de la sécurité.
* la gestion des utilisateurs et le contrôle d’utilisation des données personnelles dans la gestion de l’immigration, la conservation des données personnelles dans la surveillance du stationnement, ainsi que des directives concernant le traitement des données personnelles dans les services de secours.

En plus des sujets énumérés dans le plan de vérification, le Contrôleur de la protection des données peut entreprendre des vérifications ad hoc au cours de l’année, en réponse à des situations qui se présenteront ou pour traiter des plaintes individuelles. Les activités de vérification sont guidées non seulement par les risques identifiés, mais également par les obligations légales.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales

La société QWANT est une société française qui a lancé son moteur de recherche en 2013. En raison des fortes mesures de protection de la vie privée qu’elle mettait en œuvre, la société estimait que le moteur de recherche ne collectait aucune donnée personnelle lorsque les utilisateurs effectuaient une recherche, notamment dans le cadre de l’affichage de publicités en lien avec l’objet de la recherche. Les données utilisées dans le cadre de la vente des espaces publicitaires du moteur de recherche, opérée via MICROSOFT, étaient donc présentées comme anonymes. Le 15 mars 2019, la CNIL a été saisie d’une plainte à l’encontre de la société QWANT, au motif que les données personnelles collectées constitueraient des données à caractère personnel, et non des données anonymes, et que dès lors la réglementation sur les données à caractère personnel n’était pas respectée.

Sur la base de cette plainte, la CNIL a réalisé en 2019 deux contrôles auprès de la société et qui ont été suivis par de nombreux échanges avec la société. Ces investigations ont permis d’établir que les données personnelles que QWANT transmettait à la société MICROSOFT étaient essentiellement techniques (telles que l’adresse IP tronquée ou l’adresse IP hachée pour constitution d’un identifiant généré par QWANT), afin que MICROSOFT puisse :
* afficher des publicités contextuelles, en lien avec la recherche de l’utilisateur, ne nécessitant par conception pas de traçage dans le temps des activités de l’utilisateur, ni n’alimentant un profil ;
* comptabiliser le nombre d’affichage publicitaire ;
* proposer l’affichage de ses propres résultats de recherche dans le cas où QWANT ne serait pas en mesure de proposer des résultats suffisants, en nombre ou en qualité.

QWANT estimait que les données en question étaient anonymisées mais la CNIL a estimé que tel n’était pas le cas et a considéré qu’li s’agissait seulement de données pseudonymisées. La CNIL a en outre décelé des lacunes du côté de l’information proposée par la plateforme, qui différait d’une langue à une autre. L’autorité a ainsi décidé d’adresser un rappel à l’ordre à QWANT (en tant compte d’éléments de contextes exprimés ci-dessous !)

Disponible sur: CNIL.fr

AEPD (autorité espagnole)

En Espagne, un particulier condamné à 10 000 euros d’amende pour avoir diffusé des données sur un réseau social

L’autorité espagnole a aujourd’hui publié une décision de de sanction à l’encontre d’un particulier, A.A.A., pour avoir illégalement diffusé des données personnelles sur une application mobile. Cette affaire fait suite à une plainte concernant la publication d’informations relatives à B.B.B., comprenant son nom, son adresse, son numéro d’identification (DNI) et des données de santé. Dès le lendemain du jour du dépôt de la plainte, l’AEPD a ouvert une procédure de sanction et  a ordonné à A.A.A. de retirer le contenu publié sur le réseau social dans un délai de sept jours. Néanmoins, tous les courriers de l’autorité ont été retournés avec la mention « Destinataire inconnu ». En septembre, l’AEPD a constaté que la publication litigieuse était toujours accessible sur le réseau social.

La procédure de sanction s’est ainsi poursuivie, l’autorité estimant que:
* Manquement au principe de minimisation (article 5 du RGPD): A.A.A. a diffusé des données personnelles excessives par rapport à la finalité poursuivie
* Traitement illicite de données de santé (article 9 du RGPD): A.A.A. a traité des données de santé sans justification légale

A.A.A a en conséquence été condamné à 5 000 euros d’amende par infraction constatée, soit 10 000 euros au total. L’AEPD a également confirmé la mesure de suspension du traitement des données, c’est-à-dire le retrait définitif du contenu publié sur le réseau social (qui a dû être demandée directement auprès de celui-ci). Néanmoins, difficile de dire si l’autorité va être en capacité de la recouvrer dans la mesure où elle n’a pas été en mesure de contacter l’intéressé. Toute la procédure a dû être notifiée via le bulletin officiel, faute de mieux.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

AEPD (autorité espagnole)

Espagne : HSSERVICE LIZCON SOLUTIONS condamnée pour ne pas s’être conformé aux injonctions de l’autorité

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de HSSERVICE LIZCON SOLUTIONS, S.L. (HLS), une entreprise de réparation de matériel informatique, pour ne pas s’être conformée à une résolution antérieure. L’affaire découle d’une résolution du 17 août 2023, où l’AEPD avait sanctionné HLS et lui avait ordonné d’adopter des mesures correctives en matière de protection des données, avec un délai d’un mois pour en informer l’Agence. HLS ne s’est pas exécutée. Malgré plusieurs relances de l’AEPD, HLS n’a fourni aucune information sur les mesures prises.

L’AEPD a donc initié une nouvelle procédure de sanction pour non-respect de l‘article 58.2 du RGPDselon lequel les autorités de contrôle le pouvoir d’ordonner la mise en conformité des traitements de données. Le non-respect des décisions de l’autorité de contrôle est passible de sanctions en vertu de l’article 83.6 du RGPD. L’AEPD a ainsi décidé de condamner HLS à une amende de 15 000 euros. De plus, l’AEPD ordonne une nouvelle fois à HLS de prouver, dans un délai d’un mois, la mise en œuvre des mesures correctives initialement requises. Elle précise que le non-respect de cette nouvelle injonction pourrait entraîner de nouvelles sanctions.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

AEPD (autorité espagnole)

100 000 euros d’amende pour défaut d’information et des lacunes sécurité dans le traitement des données personnelles

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ATRIUM LEX SFC, S.L. (une entreprise d’immobilier) pour ne pas avoir respecté les obligations d’information et de sécurité prévues par le RGPD, avec une amende de 100 000 euros à la clé. L’affaire a débuté par une plainte selon laquelle ATRIUM LEX SFC, S.L. lui a demandé une copie de sa pièce d’identité (CNI) sans l’informer sur le traitement de ses données personnelles. L’enquête menée par l’AEPD a permis de constater :
* Défaut d’information (article 13 du RGPD) : ATRIUM LEX SFC, S.L. n’avait pas fourni d’informations sur le traitement des données. L’entreprise a tenté de faire valoir que la demande de la CNI était nécessaire pour vérifier l’identité de l’investisseur, mais l’AEPD a rappelé que cela ne dispensait pas la société de son obligation d’informer la personne concernée.
* Lacune dans la sécurité (article 32 du RGPD): la société n’a pas mis en œuvre de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment lors de la demande de copie de la CNI par email, ce qui contrevient à l’article 32.1 du RGPD.

En conséquence, l’entreprise a été condamnée à 50 000 euros par infraction, soit 100 000 au total. De plus, l’AEPD a enjoint à ATRIUM LEX SFC, S.L. de mettre en conformité ses traitements de données avec la réglementation applicable dans un délai de six mois.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Retour en haut