Dernières actualités : données personnelles

PIPC (autorité coréenne)

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que

Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 milliards de won (soit environ 15 millions d’euros) et une ordonnance corrective à Meta Platforms, Inc. (ci-après « Meta ») pour violation de la loi sur la protection des données personnelles. La PIPC a pris connaissance des faits selon lesquels Meta a collecté et utilisé des informations sensibles sans consentement, et a  décidé de lancer une enquête à ce sujet. Au cours de cette enquête, des plaintes ont été déposées au sujet du refus injustifié d’information concernant le traitement de données personnelles et des signalements de fuite de données due à des piratages, à la suite de quoi une seconde enquête a été lancée.

Les résultats des enquêtes menées par l’autorité coréenne montrent que :
1 – Meta a collecté des informations sensibles sans base légale, telles que les croyances religieuses et politiques, ainsi que la situation matrimoniale concernant les personnes de même sexe, d’environ 980,000 utilisateurs en Corée du Sud via leurs profils Facebook dans le passé. Ces informations ont été fournies à environ 4,000 annonceurs qui les ont utilisées. Plus précisément, des publicités liées à des thèmes sensibles (religions spécifiques, homosexualité, transgender, réfugiés nord-coréens, etc.) ont été créées en analysant les informations de comportement des utilisateurs, comme les pages « aimées » sur Facebook et les publicités cliquées.

En Corée du Sud, comme dans l’Union Européenne, la loi sur la protection des données considère les informations concernant les croyances, les opinions politiques, la vie sexuelle, etc., comme des informations sensibles qui doivent être strictement protégées et, en principe, leur traitement est limité. Il n’est possible de les traiter que dans des cas exceptionnels où un consentement distinct de la personne concernée a été obtenu ou en cas de base légale. Cependant, la PIPC a constaté que Meta a collecté ces informations sensibles et les a utilisées pour des services personnalisés sans obtenir de consentement distinct, et n’a pas mis en place de mesures supplémentaires de protection, même si ces pratiques étaient vaguement mentionnées dans sa politique de données.

La PIPC note cependant un bon point : Meta a cessé de collecter des informations sensibles à partir des profils (août 2021) et a détruit les thèmes publicitaires concernés (mars 2022), prenant ainsi des mesures correctives d’auto-initiation.

2- Meta a rejeté les demandes d’information des utilisateurs concernant le traitement de leurs données personnelles (durée de traitement des données personnelles, état de fourniture des données via la connexion Facebook, base de collecte d’informations sur les activités externes à Facebook et historique de consentement, etc.) en arguant, à tort, qu’elles ne faisaient pas partie des demandes d’accès selon la loi alors.

3- Meta aurait dû prendre des mesures de sécurité concernant des comptes et pages inactifs, telles que la suppression ou le blocage des pages / comptes.  Du fait de ce manquement, un hacker a pu soumettre une pièce d’identité falsifiée via la page de récupération de compte non utilisée pour demander la réinitialisation du mot de passe d’un autre compte. Meta a approuvé cette demande sans procéder à des vérifications adéquates de la pièce d’identité falsifiée, et les données personnelles de 10 utilisateurs coréens ont été fuitées.

Compte tenu de la nature et de la gravité de ces violations, la PIPC a décidé d’imposer à Meta une amende administrative et une sanction pour violation des réglementations de la loi concernant la limitation du traitement des informations sensibles, et a ordonné que Meta se mette en conformité. Enfin, la PIPC annonce qu’elle continuera de surveiller l’exécution des ordonnances de correction par Meta et s’efforcera d’assurer la protection des données personnelles de nos citoyens en appliquant la loi sans discrimination aux entreprises mondiales fournissant des services aux utilisateurs nationaux.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut