Dernières actualités : données personnelles

APD (autorité belge)

Non respect d’une injonction prononcée par l’autorité contre une agence immobilière: 6 000 euros d’amende

L’Autorité de protection des données (APD) belge a publié ce 24 avril 2025 une décision de sanction à l’encontre de l’Agence Immobilière pour ne pas avoir respecté une injonction que l’APD lui avait précédemment adressée dans sa décision 172/2022. L’agence immobilière a ainsi été condamnée à une amende de 6 000 euros.

L’affaire remonte à une plainte de juillet 2022 concernant le maintien en ligne, même après la vente d’un bien immobilier, de données à caractère personnel telles que l’adresse exacte et les références cadastrales du bien vendu (les « données de localisation »). Dans sa décision 172/2022 du 24 novembre 2022, l’APD avait conclu que ce traitement manquait de base juridique. Elle avait donc enjoint à l’agence d’effacer ces données pour le bien concerné, de cesser tout traitement ultérieur, et d’informer l’APD des mesures prises sous 30 jours. L’agence n’a pas contesté cette décision, qui est devenue définitive le 27 décembre 2022.

Bien que l’agence ait affirmé le 5 décembre 2022 s’être mise en conformité, le plaignant a signalé que des recherches en ligne renvoyaient toujours vers des données sur le bien. Le Service d’inspection (SI) de l’APD a alors ouvert une enquête d’initiative en février 2023, constatant que, malgré la suppression de certains éléments (rue, numéro, références cadastrales), la localité restait visible sur le site internet, notamment via la carte Google Maps. Une publication Facebook de l’agence affichait même encore l’adresse complète du bien en février 2023, ne retirant la rue/numéro qu’en mars 2023, mais laissant également la localité visible. Le service d’inspection a conclu que l’injonction n’avait pas été respectée, estimant que tous les éléments de l’adresse, y compris la localité (particulièrement sensible dans une petite commune), auraient dû être supprimés.

L’agence a contesté l’applicabilité du RGPD, l’atteinte à ses droits de la défense, une prétendue « double peine » (non bis in idem), le caractère abusif de l’enquête, et la prétendue exclusion de Facebook ou des contraintes techniques. L’APD a rejeté ces arguments : la combinaison de données permettait bien l’identification indirecte d’une personne physique, constituant un traitement soumis au RGPD. La procédure actuelle sanctionne le non-respect de l’injonction (une infraction distincte selon l’article 83.6 du RGPD), non les faits initiaux.

En conséquence, l’APD a décidé d’imposer une amende contre l’agence immobilière. Le refus répété de l’agence de communiquer ses chiffres de chiffre d’affaires les plus récents a été considéré comme un manque de coopération flagrant, entraînant une majoration de 20 % du montant initial qui aurait dû être de 5 000 euros.

Disponible sur: autoriteprotectiondonnees.be

ANSPDCP (autorité roumaine)

Poursuite du traitement après le prétendu « effacement » des données : une entreprise sanctionnée en Roumanie

L’autorité roumaine a aujourd’hui publié le résumé d’une décision de sanction rendue à l’encontre de l’opérateur Dante International SA, avec une amende de 49.770 lei (l’équivalent de 10.000 EUR) à la clé, en raison de manquements liés à des lacunes dans la gestion du droit à l’effacement. L’enquête a, comme souvent, été ouverte à la suite d’une plainte d’un client, selon laquelle l’entreprise a traité sans son consentement ses données à caractère personnel, soit les adresses e-mail associées à son compte client créé sur la plateforme en ligne détenue par l’opérateur.

Au cours de l’enquête, il a été constaté que:
* Exercice du droit à l’effacement (articles 12 et 17 du RGPD): bien que l’entreprise ait confirmé au plaignant par plusieurs réponses que les adresses e-mail associées à son compte avaient été supprimées suite à ses demandes, le plaignant a continué à recevoir sur ces adresses un message de type avis/opinion évaluative (« feedback »). Ainsi, l’autorité a constaté que Dante International n’a pas correctement géré les demandes répétées du plaignant pour la suppression des adresses e-mail et qu’il n’avait pas fourni dans les réponses envoyées au plaignant des informations claires, transparentes et intelligibles concernant l’utilisation continue de ces adresses e-mail. 

En conséquence, l’entreprise a été condamnée à l’amende citée plus haut, et devra améliorer ses pratiques.

Disponible (en roumain) sur: dataprotection.ro
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 24 avril 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 24 avril 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Bilan des demandes d’exercice des droits indirects et des plaintes ;
* Présentation d’un projet de communication « sécurisation des grandes bases de données » ;
* Communication relative aux référentiels « santé » et à leur mise à jour : présentation du programme de travail.

Partie II (sans débats):
/

Disponible sur: CNIL.fr

PIPC (autorité coréenne)

En Corée du Sud, annonce des résultats de l’examen préliminaire du service DeepSeek

Suite au lancement du service DeepSeek en janvier de cette année, des préoccupations concernant les violations de données personnelles ont été soulevées tant au niveau national qu’international. La Commission de protection a immédiatement envoyé un questionnaire à DeepSeek concernant sa méthode de collecte et de traitement de données personnelles (31.01.), tout en menant une analyse technique avec l’Institut coréen des Internet (Directeur Lee Sang-Joong), confirmant certains manquements dans les fonctions de communication avec d’autres opérateurs et dans la politique de traitement (ci-après ‘politique de traitement’). En conséquence, la Commission de protection a entamé un examen préliminaire de DeepSeek* et, au cours de ce processus, DeepSeek a reconnu avoir négligé certains aspects de la loi sur la protection des informations personnelles (ci-après ‘loi de protection’) et a exprimé son intention de coopérer activement avec la Commission, tout en annonçant la suspension provisoire des nouveaux téléchargements sur le marché des applications coréen (15.02.).

La Commission de protection a confirmé les éléments suivants à la suite de l’examen préliminaire :
* Politique de confidentialité : Initialement, DeepSeek a publié sa politique de traitement uniquement en chinois et en anglais lors de son lancement sur le marché des applications coréen le 15 janvier 2025, omettant de mentionner des processus et méthodes de destruction des données personnelles, des mesures de sécurité, ainsi que les noms et contacts des responsables de la protection des données, comme l’exige notre loi de protection. DeepSeek a soumis une politique de traitement en coréen incluant des éléments légaux et une clause de compétence coréenne supplémentaires, en vue de sa publication prochaine.

* Concernant le transfert de données personnelles à l’étranger : Initialement, DeepSeek a transféré des données personnelles à plusieurs entreprises situées en Chine et aux États-Unis (pour des améliorations de service, sécurité, et assistance client), sans obtenir le consentement des utilisateurs pour le transfert à l’étranger ou le mentionner dans la politique de traitement au moment du lancement du service. En particulier, DeepSeek a également transmis les contenus de saisie des utilisateurs dans les invites d’IA à Beijing Volcano Engine Technology Co., Ltd. (ci-après ‘Volcano’). DeepSeek a mis à jour sa documentation et a bloqué les nouveaux transferts vers Volcano, sur les recommandations de l’autorité (10.04).

* Concernant le développement et l’apprentissage de l’IA: Initialement, semblable à d’autres opérateurs d’IA, DeepSeek utilisait des données accessibles au public (données open-source et données collectées sur le web, etc.) ainsi que les contenus saisis par les utilisateurs dans les invites d’IA pour le développement et l’apprentissage de l’IA, mais les utilisateurs n’avaient pas la possibilité de refuser l’utilisation de ces contenus à des fins de développement et d’apprentissage, et la politique de traitement et les conditions d’utilisation ne fournissaient pas d’explications suffisantes. DeepSeek a confirmé avoir mis en place une fonctionnalité permettant aux utilisateurs de refuser l’utilisation des contenus saisies dans les invites d’IA pour le développement et l’apprentissage (17.03.), et a également convenu de respecter toutes les ‘mesures de protection renforcées’* recommandées par la Commission de protection après l’examen préliminaire des principaux services d’IA l’année dernière (mars 2024).

* Concernant les données personnelles des enfants et les mesures de sécurité: Bien que DeepSeek ait déclaré ne pas collecter de données personnelles d’enfants de moins de 14 ans, il n’existait pas de procédure pour vérifier l’âge lors de l’inscription au service, toutefois, un processus de vérification de l’âge a été mis en place au cours de l’examen. De plus, les vulnérabilités de sécurité identifiées (manquement à la restriction d’accès à la base de données du serveur de développement, insuffisance dans la prévention de l’affichage de répertoire, etc.) ont été confirmées comme ayant été résolues au cours du processus d’examen.

L’autorité a également annoncé que sur la base des résultats de l’examen ci-dessus, la Commission de protection recommande à DeepSeek d’assurer une base légale solide pour le transfert de données personnelles à l’étranger, de détruire immédiatement les contenus saisis par les utilisateurs déjà transférés à Volcano, et de continuer à garantir la transparence du service par la publication de la politique de traitement en coréen.

Si DeepSeek accepte les recommandations de correction de la Commission de protection dans un délai de 10 jours, cela sera considéré comme une acceptation d’un ordre de correction (Article 63-2 de la loi coréenne). Les résultats de la mise en œuvre des recommandations de correction et d’amélioration doivent être rapportés à la Commission de protection dans un délai de 60 jours. À l’avenir, la Commission de protection prévoit de contrôler les mesures de mise en œuvre des recommandations de correction et d’amélioration de DeepSeek au moins deux fois et de maintenir une gestion continue.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux

L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le marketing électronique.

AFK Letters est une société qui rédige des lettres pour demander des indemnisations et des remboursements à ses clients. L’enquête menée par l’autorité britannique a permis de constater:
* Absence de consentement valable (équivalent de l’article 6 du RGPD et de la directive ePrivacy): Entre janvier et septembre 2023, AFK a utilisé des données collectées sur son propre site web et par une société d’enquête téléphonique tierce pour effectuer 95 277 appels de marketing sans être en mesure de démontrer un consentement valide et spécifique de la part des personnes contactées. Bien que l’AFK ait affirmé ne pas pouvoir fournir de preuve de consentement parce qu’elle supprimait toutes les données des clients après trois mois, lorsque l’ICO l’a interrogée, elle n’a pas non plus été en mesure de fournir des enregistrements de consentement pour plusieurs appels effectués au cours de cette période de trois mois.

* Information incomplète (équivalent de l’article 13 du RGPD): Le fournisseur de données tiers de l’AFK utilisait des déclarations de consentement qui ne mentionnaient pas spécifiquement l’AFK lorsqu’il demandait au public de consentir à être appelé. En outre, la politique de confidentialité de l’AFK ne mentionnait que les contacts par courrier électronique et n’indiquait pas que les personnes recevraient également des appels téléphoniques.

En conséquence, l’entreprise a été condamnée à l’amende pré-citée, et devra améliorer ses pratiques.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Consentement multi-terminaux : la CNIL lance une consultation publique sur son projet de recommandation

Les utilisateurs interagissent désormais avec des sites web ou applications mobiles via divers appareils : ordinateur, smartphone, tablette ou télévision connectée, parfois en étant connectés à un compte utilisateur. Avec la multiplication des objets connectés, les demandes de consentement pour l’utilisation de cookies et traceurs sont devenues plus fréquentes. Dans ce contexte, certains acteurs du numérique cherchent à recueillir un consentement unique, valable sur tous les terminaux d’un même utilisateur.

La CNIL lance une consultation publique sur son projet de recommandation sur le recueil du consentement multi-terminaux (aussi appelé cross-device). L’objectif est d’aider les acteurs qui souhaitent recourir à cette pratique à recueillir un consentement conforme aux exigences du RGPD.

Plus d’informations ci-dessous !

Disponible sur: CNIL.fr

CNIL

Compromission de données chez un sous-traitant : quels sont les risques des accès non sécurisés ?

Régulièrement, la CNIL communique sur des violations de données typiques inspirées d’incidents réels qui lui sont notifiés.
Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données détenues par les sous-traitants. Elle est à découvrir ci-dessous !

Disponible sur: CNIL.fr

APD (autorité belge)

En Belgique, des écoles rappelées à l’ordre pour avoir traité des données sans base légale à l’occasion d’une enquête en ligne « anonyme »

La Chambre des Litiges de l’Autorité de protection des données (APD) a condamné des établissements d’enseignement « Y » pour avoir traité des données sans base légale à l’occasion d’une enquête en ligne menée auprès d’élèves mineurs sur leur consommation de drogues et d’alcool, ainsi que leurs habitudes de jeu (jeux vidéo et paris), dans le but de développer une politique de santé au sein des établissements d’enseignement Y. L’affaire a débuté par la plainte d’un parent (X) dont la fille était scolarisée dans l’un des établissements Y. Le plaignant estimait que le traitement des données n’était pas anonyme et que le consentement de sa fille pour le traitement de données relatives à sa santé n’avait pas été recueilli de manière libre et éclairée.

Les établissements Y ont argué qu’ils n’étaient pas responsables du traitement, mais que le centre d’expertise Z l’était. Ils ont également soutenu que les données étaient anonymes et que le RGPD n’était donc pas applicable.
Après examen, la Chambre des Litiges a déterminé que les établissements d’enseignement Y agissaient bien en tant que responsable du traitement. L’APD a également conclu que l’anonymisation des données prévue pas les établissements n’avait pas été suffisamment démontrée par les établissements Y pour échapper à l’application du RGPD, notamment en raison de l’utilisation de codes uniques pour les élèves et de la transmission d’une liste d’élèves au centre d’expertise « Z ».

Elle a ainsi retenu:
* Absence de base légale (articles 6 et 9 du RGPD):  Sur la base juridique du traitement, l’APD a reconnu que l’enquête pouvait relever d’une mission d’intérêt public. Cependant, compte tenu de la nature des données collectées, qui incluaient des données de santé (article 9 du RGPD), l’autorité estime que le traitement nécessitait le consentement explicite des parents ou tuteurs légaux pour les mineurs de moins de 18 ans.

Pas d’amende pour cette fois, mais les établissements devront se mettre en conformité avec la réglementation et le démontrer auprès de l’autorité.

Disponible sur: autoriteprotectiondonnees.be

AEPD (autorité espagnole)

L’autorité espagnole rappelle que l’exigence systématique de la carte d’identité pour l’exercice des droits n’est pas conforme au RGPD

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société EDA TV CONSULTING, S.L. (EDA TV) en raison d’un manquement au principe de minimisation: et pour cause, l’entreprise exigeait systématiquement la copie de la carte d’identité des personnes exerçant leurs droits. Une amende de 5 000 euros a été prononcée contre la société. L’affaire a débuté par une réclamation déposée le 5 mars 2024 concernant la politique de confidentialité du site web edatv.news/, selon laquelle la fourniture d’une copie de la carte d’identité (DNI) était nécessaire pour l’exercice des droits en matière de protection des données.

Suite à la réclamation, l’AEPD a demandé à EDA TV de justifier cette pratique. EDA TV a répondu en invoquant le Considérant 64 du RGPD, arguant que la demande de copie du DNI était une mesure raisonnable pour vérifier l’identité des personnes exerçant leurs droits en ligne. Cependant, l’AEPD a estimé que :

* Principe de minimisation (article 5 du RGPD): l’exigence systématique d’une copie du DNI (recto verso) pour l’exercice des droits était excessive et contraire au principe de minimisation des données. L’agence a souligné que le DNI contient des données personnelles qui dépassent ce qui est nécessaire pour la seule identification, et que d’autres moyens de vérification d’identité existent.

En conséquence, l’entreprise a été condamnée à une amende de 5 000 euros, réduite à 3 000 euros dans le cadre de la procédure (espagnole) de paiement volontaire et de reconnaissance de responsabilité. EDA TV devra également améliorer ses pratiques et en justifier auprès de l’autorité dans un délai d’un mois.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

AEPD (autorité espagnole)

Une université espagnole sanctionnée pour la visibilité des numéros de DNI de ses professeurs

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision sanctionnant l’Université de Vigo pour avoir publié les numéros de carte d’identité (DNI) des professeurs sur une plateforme numérique. Comme souvent, cette affaire débute avec une plainte, cette fois de la part d’un professeur qui a signalé que son numéro de DNI et ceux d’autres professeurs étaient librement accessibles aux utilisateurs de la plateforme, ce qu’il jugeait inapproprié. Malgré sa demande d’anonymisation de son DNI, celle-ci n’avait pas été satisfaite.

L’AEPD a enquêté et a constaté que:
* Sécurité et confidentialité (article 5 du RGPD): le DNI des professeurs était effectivement visible pour les autres professeurs avec lesquels ils partageaient des cours sur la plateforme. l’AEPD a estimé que l’université n’a pas garanti une sécurité appropriée des données personnelles, notamment la protection contre l’accès non autorisé aux numéros de DNI des professeurs.
* Privacy by design et by default (article 25 du RGPD): L’agence a également établi que l’université n’avait pas mis en place de mesures techniques et organisationnelles adéquates dès la conception de la plateforme pour empêcher cet accès non autorisé. L’utilisation du DNI comme identifiant unique sur la plateforme a été jugée comme augmentant les risques pour la confidentialité et l’intégrité des données.

En conséquence, l’Université a été sanctionnée: pas d’amende à la clef pour l’instant, mais cela pourrait être le cas si la structure ne se met pas en conformité dans les deux mois de la publication de la décision, a prévenu l’autorité.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Retour en haut