Dernières actualités : données personnelles

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

Comité européen sur la protection des données (EDPB)

Lors de sa dernière session plénière, l’EDPB a adopté une déclaration sur l’accès aux données financières et les services de paiement.

Le 28 juin 2023, la Commission européenne (CE) a publié trois propositions concernant les services de paiement et l’accès aux données financières. Le paquet législatif se compose d’une proposition de cadre pour l’accès aux données financières (FIDA), d’une proposition de règlement sur les services de paiement (PSR) et d’une proposition de directive sur les services de paiement (PSD3). Selon la Commission européenne, ces propositions visent à améliorer la protection des consommateurs et la concurrence dans le domaine des paiements électroniques, et à permettre aux consommateurs de partager leurs données afin d’accéder à une gamme plus large de produits et de services financiers moins chers. À cette fin, ces propositions développent le cadre juridique existant sur les services de paiement (notamment la deuxième directive sur les services de paiement, ou « DSP2 ») et établissent un nouveau cadre pour faciliter l’accès et le partage des données financières en ce qui concerne certains services financiers (FIDA).

Après divers échanges entre l’EDPB, l’EDPS et les autorités européennes ayant permis la prise en compte des premières recommandations formulées par les autorités, le CEPD estime qu’ « étant donné que les travaux du Conseil se concentrent sur la prévention de la fraude, la présente déclaration fournit des recommandations à cet égard, en s’appuyant sur l’expérience pratique des autorités nationales chargées de la protection des données en la matière. En particulier, l’EDPB considère que des garanties supplémentaires devraient être incluses dans la législation concernant le partage des données à des fins de fraude afin de garantir le droit fondamental à la protection des données« .

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

RH & Recrutement : quelles données peuvent être collectées ?

Par Haas Avocats

Parmi les principes fondamentaux relatifs au traitement des données à caractère personnel, il en est un auquel les employeurs doivent particulièrement être alerté dans le cadre du recrutement de leurs salariés : c’est
le principe de la minimisation des données.

Disponible sur: haas-avocats.com

HAAS Avocats

CEPD/Cookies : Consentir ou payer, il faut choisir !

Par Haas Avocats

Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a rendu un avis particulièrement attendu sur le nouveau
modèle du « consentir ou payer », développé par les plateformes en ligne afin de
monétiser l’accès à leurs services.

Disponible sur: haas-avocats.com

ICO (autorité anglaise)

Nos recherches sur les perceptions du public concernant les produits de l’internet des objets (IoT) et la protection des données ont révélé que plus les gens en savent sur les produits, moins ils leur font confiance, ainsi qu’aux entreprises qui détiennent leurs informations personnelles.

L’ICO a mené une recherche sur la base d’un « jury citoyen » pour connaître l’opinion du public sur les produits de l’internet des objets (IoT). La recherche s’est concentrée sur les produits de l’IoT disponibles sur le marché de la consommation, tels que les trackers de fitness, les sonnettes, les téléviseurs connectés et les haut-parleurs intelligents. Le jury de citoyens a formulé ses attentes à l’égard des fabricants de ces produits. La recherche a exploré six domaines de la protection des données avec un échantillon national représentatif de participants : le consentement, la transparence, le profilage et la publicité, les droits individuels, la responsabilité et la sécurité.

Avant les ateliers organisés dans le cadre de l’engagement initial, les participants n’avaient pas spontanément reconnu que la collecte et le traitement des informations personnelles étaient des sujets de préoccupation.
De nombreux participants faisaient confiance aux fabricants et se sentaient généralement à l’aise avec la collecte de leurs données personnelles, Toutefois, certains ont exprimé des réserves. Seuls quelques participants ont pris des mesures proactives pour protéger leur vie privée et leur sécurité, par exemple en générant des mots de passe aléatoires, en fournissant des informations personnelles incorrectes ou en utilisant un réseau privé virtuel (VPN). Au fur et à mesure que les participants s’informaient, au cours des ateliers, sur la manière dont les produits IdO traitent les informations personnelles, ils devenaient de plus en plus sceptiques à l’idée de confier leurs informations personnelles aux produits IoT et aux entreprises qui en sont à l’origine.

L’ICO précise que ce travail n’en est qu’à ses débuts et qu’elle examinera les recommandations du jury citoyen en même temps que le reste de ses travaux avec les parties prenantes, notamment les fabricants de produits IoT, les associations professionnelles et le secteur tertiaire.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

eWatchers

Les noms et coordonnées des 700 000 clients du vendeur @LeSlipFrancais dérobés suite à une cyberattaque.

Le 16 avril 2024, la société de prêt-à-porter LE SLIP FRANÇAIS a informé ses clients qu’un « un acte de malveillance informatique » avait eu lieu et que « certaines de [leurs] données personnelles ont malheureusement été volées par des hackeurs ». Les données concernées par cette fuite de données sont : les noms et prénoms des clients, les numéros de téléphone, les adresses e-mail et postales et, parfois, les numéros de commande.
Les circonstances exactes de cet incident ne sont pas connues, ni son éventuel lien avec la plateforme Shopify, qui est manifestement utilisée par la société.

Disponible sur: ewatchers.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Rapport sur les travaux entrepris par la Taskforce ChatGPT

Lors de la réunion plénière de l’EDPB du 16 janvier 2024, il a été décidé de préciser le mandat de la task force et de publier un rapport décrivant les résultats intermédiaires de la task force ChatGPT.
Selon ce mandat, la taskforce doit :
– Échanger des informations entre les autorités de protection des données sur l’engagement avec l’OpenAI et les activités d’application en cours concernant ChatGPT.
– Faciliter la coordination de la communication externe par les autorités de protection des données concernant les activités d’application dans dans le contexte de ChatGPT.
– Identifier rapidement une liste de questions pour lesquelles une approche commune est nécessaire dans le contexte de différentes mesures d’exécution concernant ChatGPT prises par les autorités.

Compte tenu de la nature confidentielle des enquêtes, le présent rapport se réfère aux informations accessibles au public comme source supplémentaire pour fournir des informations sur la transparence, l’équité, l’exactitude des données et les droits des personnes concernées à l’égard du public.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes

Le Comité européen de la protection des données (CEPD) a adopté un avis sur la reconnaissance faciale dans les aéroports indiquant que les individus doivent garder le contrôle sur leurs données biométriques. Le 24 mai 2024, le CEPD s’est réuni en session plénière. Au cours de cette séance, il a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports. Cet avis fait suite à une demande de la CNIL afin d’avoir une position harmonisée à l’échelle européenne face à une pratique qui tend à se répandre en Europe et au-delà.

Il est à noter que l’avis a une portée limitée et n’examine pas l’utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l’utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle des frontières ou par les services répressifs.

Disponible sur: CNIL.fr

CNIL

La loi visant à sécuriser et réguler l’espace numérique (SREN) renforce la protection des internautes en confiant de nouvelles missions à la CNIL

La régulation du numérique est complétée, par la loi SREN, d’un certain nombre de dispositions issues de règlements européens. Ces dispositions sont destinées à renforcer la protection des internautes, notamment les plus jeunes, et vont conduire la CNIL à exercer de nouvelles missions en lien avec les autres régulateurs du numérique.

Disponible sur: CNIL.fr

Retour en haut