Dernières actualités : données personnelles

UODO (autorité polonaise)

Plan de contrôle de l’UODO pour l’année 2025

Dans le plan de contrôle sectoriel de l’UODO pour 2025, publié ce vendredi par l’autorité, plusieurs secteurs où les violations des règles de protection des données personnelles apparaissent de plus en plus souvent ont été identifiés et ont ainsi été priorisés. L’UODO a également pris en compte les domaines qui suscitent un grand intérêt social. Le plan de contrôle sectoriel de l’UODO pour 2025 se présente comme suit :

1. Organes qui traitent des données personnelles dans de grands systèmes de l’Union européenne, y compris le traitement des données personnelles SIS/VIS sur la base des dispositions de la loi du 24 août 2007 sur la participation de la République de Pologne au système d’information Schengen et au système d’information sur les visas (Journal officiel de 2023, pos. 1355 avec modifications), des actes d’exécution et des règlements de l’Union européenne.

2. Entités qui traitent des données sur la santé – méthode d’assurance de la sécurité des données personnelles.

3. Entités qui traitent des données des enfants – traitement de l’image des enfants, lorsque le consentement exprimé par les parents ou tuteurs légaux est requis.

4. Mise en œuvre de l’obligation résultant de l’article 33, paragraphe 5, du RGPD, consistant à documenter toutes les violations de la protection des données personnelles, y compris les circonstances de la violation de la protection des données personnelles, ses conséquences et les mesures correctives prises.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Le Conseil d’Etat polonais estime que la banque ne peut pas traiter des données à des fins de prévention du contentieux en se fondant sur l’intérêt légitime

« Les éventuelles réclamations futures d’un ancien client ne justifient pas le traitement de données personnelles par une banque lorsque les parties ne sont pas liées par un accord », a décidé la Cour administrative suprême de Varsovie. La Cour confirme ainsi la position du Président de l’UODO et rejette le pourvoi en cassation de la Banque Millennium contre l’arrêt de l’ASM de Varsovie. La Cour administrative suprême, dans son arrêt du 8 janvier 2025 (affaire n° III OSK 4868/21) (après le tribunal administratif de la voïvodie de Varsovie (II SA/Wa 607/20)), a estimé qu’une banque ne peut pas traiter des données personnelles sur la base de l’article 6 paragraphe 1 point f) du RGPD afin de se défendre contre d’éventuelles réclamations d’anciens clients.

Telle était également la position de l’autorité de contrôle dans une décision administrative ordonnant à la banque Millennium de supprimer les données d’un couple marié qui avait porté plainte contre le responsable du traitement auprès du président de l’UODO. Le président de l’UODO a constaté que ladite banque traitait les données de ses anciens clients alors que leurs comptes avaient été clôturés et qu’ils s’étaient en outre opposés au traitement de leurs données à caractère personnel à des fins de marketing. Il s’est avéré que la banque a continué à traiter leurs données, ce qui s’est révélé lorsqu’elle leur a envoyé de la correspondance commerciale.

Le responsable du traitement a justifié la poursuite du traitement des données par d’éventuelles réclamations futures des clients et a invoqué son intérêt légitime (article 6 paragraphe 1 point f) du RGPD). Cependant, le Président de l’UODO a estimé que le motif invoqué par la banque concernait une situation déjà existante, dont le but, selon les intérêts légitimement justifiés poursuivis par l’administrateur, est la nécessité de prouver, le besoin de rechercher ou de se défendre contre une revendication existante, et non une situation dans laquelle les données sont traitées pour se protéger contre une éventuelle revendication. L’autorité de contrôle a donc estimé que la banque ne traitait les données des plaignants qu’« à titre de sauvegarde » pour se prémunir contre d’éventuelles réclamations futures et incertaines.

Dans le raisonnement de la décision, le Président de l’UODO a également souligné que le traitement des données personnelles pour échapper à des conséquences négatives en cas de dépôt, dans le futur, d’une éventuelle revendication indéterminée pourrait conduire à un traitement permanent de ces données, sans nécessité de leur suppression. Le Président de l’UODO a considéré que la banque n’avait pas prouvé qu’il existait un quelconque litige entre elle et les personnes dont elle traitait les données, qui justifierait la finalité du traitement de ces données au sens de l’article 6 paragraphe 1 point f) du RGPD.

Ces arguments de l’autorité de contrôle ont été confirmés par la Cour, qui a déclaré en examinant le recours que le traitement sur la base de l’intérêt légitime est justifié lorsque trois conditions sont remplies :
1) le responsable du traitement poursuit des finalités pour lesquelles le traitement des données à caractère personnel est nécessaire ;
2) ces finalités découlent des « intérêts légitimes » poursuivis par le responsable du traitement
3) les « intérêts légitimes » poursuivis par le responsable du traitement prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Dans ses conclusions, la Cour a constaté qu’en l’espèce, la banque a indiqué comme base du traitement des données personnelles la protection de ses intérêts en cas de revendications éventuelles des demandeurs, alors qu’il n’a pas été prouvé que les demandeurs avaient formulé une quelconque demande à l’encontre de la partie requérante. [En conséquence, la première condition n’aurait pas été respectée.]

[Ajout contextuel Portail RGPD: C’est une décision qui paraît assez curieuse dans la mesure où il est classique de conserver les données jusqu’à l’écoulement du délai de prescription de l’action dont dispose le client (sans quoi l’entreprise se trouverait totalement démunie le cas échéant) et de fonder ce traitement sur « les intérêts légitimes » du responsable de traitement. Il est toutefois possible que cela soit justifié par le droit polonais, qui est susceptible de fonctionner différent du nôtre et aboutirait, comme le souligne la Cour, à une conservation illimitée (?). ]

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 16 janvier 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 16 janvier 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Audition du président de la section de l’Intérieur au Conseil d’État ;
* Examen d’un projet de délibération portant avis sur un projet de décret portant application de l’article 38 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique ;
* Examen d’un projet de délibération portant avis sur un projet de décret fixant les modalités de la procédure d’enregistrement au registre public national des organisations altruistes en matière de données en application du 4° de l’article 57 de la loi n°2024‑449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique ;
* Bilan oral du « bac à sable » intelligence artificielle au bénéfice des services publics.

Partie II (sans débats):
/

Disponible sur: CNIL.fr

CNIL

IA, mineurs, cybersécurité, quotidien numérique : la CNIL publie son plan stratégique 2025-2028

Le nouveau plan stratégique de la CNIL comporte quatre grands axes : intelligence artificielle, droits des mineurs, cybersécurité et usages du quotidien numérique. Il doit permettre de protéger les données de chacun et ainsi de sécuriser l’avenir numérique de tous. Il reposera sur une action équilibrée entre prévention, accompagnement et répression.

Dans un contexte marqué par l’essor fulgurant des nouvelles technologies et par l’omniprésence de services numériques (intelligence artificielle, Internet des objets, identité numérique, cloud et réseaux sociaux…), la question de l’utilisation des données personnelles est, plus que jamais, au cœur de notre quotidien. Face aux défis pour la vie privée de chacun, la CNIL se mobilise pour assurer la mise en conformité des organismes au RGPD et garantir le respect effectif des droits des personnes. Pour atteindre ces objectifs, la CNIL renforce sa présence sur le terrain et va à la rencontre des publics, diversifie son offre de service pour accompagner les organismes, dialogue avec les parties prenantes pour produire des outils adaptés et accroît le nombre et la variété de ses mesures répressives.

 » La CNIL porte la responsabilité particulière de concilier respect des droits fondamentaux et innovation technologique. C’est à cette condition que, particuliers, entreprises et administrations pourront bénéficier d’un cadre de confiance pour leurs usages numériques. » déclare Marie-Laure Denis, présidente de la CNIL

Disponible sur: CNIL.fr

APD (autorité belge)

Mediahuis condamné pour avoir mal transmis des données personnelles à un nouveau responsable de traitement à l’occasion d’une cession d’actifs

L’autorité belge a aujourd’hui annoncé la condamnation de la chaine de mediaas Mediahuis pour avoir incorrectement traité des données dans le cadre d’une cession d’actifs. Mediahuis NV, dans le cadre de ses activités liées au service de recherche d’emploi Jobat, a en effet vendu une partie de ses actifs à House of Recruitment Services BV (HORS), en ce compris des données personnelles d’utilisateurs ayant interagi avec Jobat. Un plaignant a constaté que ses données personnelles avaient été transférées à HORS sans son consentement ou notification préalable, et a ainsi formulé une réclamation auprès de l’autorité.

Lors de son enquête, l’autorité a considéré que le transfert des données personnelles lors d’une transaction commerciale constitue une activité de traitement distincte. qui nécessitait donc une base légale spécifique. Elle a ainsi relevé les manquements suivants:
* Absence de base légale (article 6 du RGPD) : malgré une tentative d’utiliser le contrat comme base, une obligation légale ou un intérêt légitime, les arguments n’ont pas convaincu l’autorité belge
* Manquements à l’obligation de transparence (articles 12 et 13 du RGPD) : L’entreprise n’a pas informé les utilisateurs de manière adéquate et transparente sur les raisons et les finalités du transfert, les droits des utilisateurs, ou encore l’identité du nouveau responsable de traitement.

Pas d’amende pour cette fois : l’autorité belge a seulement adressé une réprimande à la société Mediahuis, mais a exigé de la société qu’elle revoie sa copie.
La société devra justifier des actions réalisées pour se mettre en conformité auprès de l’APD.

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Permissions dans les applications mobiles : les recommandations de la CNIL pour respecter la vie privée des utilisateurs

Le 24 septembre 2024, la CNIL a publié la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle revient dans cet article sur le rôle clé des permissions au sein des applications mobiles. Dans son article, la CNIL note que l’utilisation d’applications mobiles implique très souvent des traitements de données personnelles : ces données sont soit fournies par les utilisateurs, soit collectées directement par l’application lorsqu’elle accède aux ressources présentes au sein de leur smartphone ou tablette. Dans ce dernier cas, l’application demande l’accord de l’utilisateur à travers un système mis à disposition par les systèmes d’exploitation : les permissions.

Au programme:
– Qu’est-ce qu’une permission ?
– Leur distinction avec le consentement au traitement
– Que retenir des recommandations de la CNIL  concernant les permissions ?

Disponible sur: CNIL.fr

GPDP (autorité italienne)

Lancement d’un nouveau spot de l’autorité italienne pour la protection des mineurs

« Votre vie privée vaut plus qu’un like », telle est la devise de la nouvelle campagne de communication institutionnelle lancée par le Garante Privacy contre le “sharenting”, c’est-à-dire le partage constant et obsessionnel, par les parents, de photos et de vidéos de leurs enfants sur les réseaux sociaux. Le spot est diffusé à partir d’aujourd’hui sur les chaînes de radio et de télévision de la RAI et sera également diffusé sur les médias sociaux de la Garante.

Le sharenting, qui dérive des mots anglais « share » et « parenting », est un phénomène qui retient depuis longtemps l’attention de l’autorité, notamment en raison des risques qu’il comporte pour l’identité numérique de l’enfant et la bonne formation de sa personnalité. La diffusion d’images dès le plus jeune âge (souvent poussée jusqu’à la diffusion d’échographies) risque également de créer des tensions, même importantes, dans la relation entre parents et enfants, qui se voient construire une image publique qu’ils ne souhaitent peut-être pas.

Dans le spot, un professeur, interprété par l’acteur Luca Angeletti, met ironiquement en garde une classe de parents contre les risques d’une exposition excessive de leurs enfants sur Internet. Ce qui est publié sur les réseaux sociaux ou partagé dans les chats peut en effet être capturé et réutilisé par n’importe qui à des fins inappropriées, pour des activités illicites, ou même se retrouver sur des sites de pornographie enfantine. La campagne de communication « Votre vie privée vaut bien plus qu’un like » invite les parents à réfléchir et à prendre conscience de la protection des données personnelles avant de poster une énième photo de leur enfant mineur.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Corée – États-Unis (Californie), main dans la main dans le domaine de la protection des données personnelles

La PIPC (présidée par Ko Hak-soo, ci-après ‘la Commission’) a annoncé élargir le champ de sa coopération internationale en matière de protection des données personnelles par la signature d’un accord de coopération avec l’Agence californienne de protection des données personnelles. Cet accord a été signé le 10 janvier (vendredi) et porte sur le renforcement de la coopération entre les deux institutions dans le domaine de la protection des données personnelles.

La PIPC estime qu’il représente une étape importante visant à élargir la coopération,  auparavant principalement axée sur l’Europe, vers le continent américain, et inclut des évaluations d’adéquation de l’Union européenne, des accords de coopération, et l’opération de groupes de discussion sur les politiques. En particulier, celui-ci comprend divers types de coopération, tels que le partage d’informations relatives à des enquêtes sur les fuites de données, le partage des plans de travail annuels, la tenue de conseils de travail, et le développement de moyens appropriés pour la coopération mutuelle.

Étant donné le fait que la Californie abrite de nombreuses grandes entreprises technologiques à la pointe des nouveaux technologies, telles que l’intelligence artificielle, la PIPC exprime de grandes attentes et des espoirs concernant les effets positifs de cette coopération entre les deux parties.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité 

La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 270 millions de wons et une amende de 6 millions de wons (soit environ 183 000 euros au total) au Bureau administratif des tribunaux pour violation des lois sur la protection des données personnelles, ainsi que de recommander des améliorations.

Le Bureau administratif des tribunaux a ouvert et exploité des ports pour permettre la connexion entre le réseau interne et externe à des fins de commodité d’utilisation, ce qui a permis à un hacker d’infiltrer le réseau interne où se trouvait le serveur de traitement électronique des affaires (stockage), entraînant la fuite d’un volume de données de 1 014 Go contenant de nombreux documents liés aux affaires (déclarations manuscrites, certificats de mariage, certificats médicaux, etc.). Parmi ces données, l’analyse des fichiers de 4,7 Go récupérés par la police a révélé que les données contenaient des informations personnelles de 17 998 personnes, y compris les numéros de registre des résidents (noms, numéros de registre des résidents, dates de naissance, coordonnées, adresses, âges, sexes, etc.).

Les résultats de l’enquête ont montré que le Bureau administratif des tribunaux avait stocké et conservé des documents liés aux affaires (convertis en fichiers PDF) sur le serveur de traitement électronique sans chiffrer les documents contenant des numéros de registre des résidents. De plus, le mot de passe initial des comptes administrateur du serveur Internet Active Directory et des comptes d’opérateurs de PC de virtualisation Internet a été utilisé tel quel, rendant leur prédiction facile, et il a été constaté qu’aucun logiciel antivirus ni programme de sécurité n’avait été installé sur le ‘serveur web de virtualisation Internet’ situé sur le réseau interne, montrant ainsi des mesures de sécurité de base insuffisantes.

En outre, bien que le Bureau administratif des tribunaux ait détecté des fichiers malveillants en février 2023 et ait mené une enquête sur l’incident, il a été constaté qu’il n’avait signalé la fuite de données personnelles et publié un avis à ce sujet sur son site internet que longtemps après, le 7 décembre 2023.

En conséquence, la Commission de protection des données a imposé une amende administrative de 2,7 milliards de wons et une amende de 6 millions de wons au Bureau administratif des tribunaux, a publié les informations pertinentes et a recommandé des améliorations en examinant les mesures de sécurité dans le système de gestion du traitement des données personnelles ainsi que les organisations et le personnel, et en proposant des mesures pour améliorer le niveau de protection des données personnelles.

Les organismes publics traitant une grande quantité de données personnelles doivent également respecter strictement les obligations liées à l’installation et à l’exploitation de programmes de sécurité, ainsi qu’aux mises à jour de sécurité des divers systèmes d’exploitation, et doivent faire preuve d’une attention particulière en surveillant en permanence les tentatives d’accès illégal extérieur.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-394/23

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport

Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD.

La Cour rappelle que, pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive.

La Cour précise que le traitement de données relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire :
i) lorsque l’intérêt légitime poursuivi n’a pas été indiqué à ces clients lors de la collecte de ces données,
ii) lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime, ou
iii) lorsque, au regard de l’ensemble des circonstances pertinentes, les libertés et les droits fondamentaux de ces clients sont susceptibles de prévaloir sur cet intérêt légitime, notamment, en raison d’un risque de discrimination fondée sur l’identité de genre. 

Disponible sur: curia.europa.eu
L’arrêt complet est également disponible. 

Retour en haut