Dernières actualités : données personnelles

AEPD (autorité espagnole)

L’autorité espagnole de protection des données ordonne une mesure conservatoire qui empêche Worldcoin de continuer à traiter des données à caractère personnel en Espagne.

Par une décision du 6 mars 2024, l’AEPD exige de Worldcoin (outil permettant de créer une identité numérique via l’iris des personnes concernées) la cessation de la collecte et du traitement de données à caractère personnel sensibles (en l’occurrence, biométriques) ainsi que le blocage des données déjà collectées. L’AEPD indique avoir reçu plusieurs plaintes dénonçant des informations insuffisantes, la collecte de données auprès de mineurs et l’impossibilité de retirer son consentement, entre autres infractions. L’AEPD précise que cette décision est basée sur des circonstances exceptionnelles, où il est nécessaire d’adopter des mesures visant à la cessation immédiate des activités de traitement afin d’éviter le transfert éventuel de données à des tiers et de sauvegarder le droit fondamental des personnes à la protection des données à caractère personnel.
Enfin, cette interdiction temporaire d’activité, limitée à l’Espagne, est valable pour une période maximale de trois mois.

[Ajout contextuel Portail RGPD: Si l’article 58 du RGPD donne effectivement aux autorités de contrôle le pouvoir « d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement », il s’agit jusqu’à présent d’une possibilité qui n’a été que très peu utilisée, probablement au regard des conséquences qu’elle peut avoir sur l’activité économique de la société concernée et/ou sur la liberté d’entreprendre. Cela pourrait expliquer pourquoi l’AEPD a tenu à préciser que des « circonstances exceptionnelles » sont à l’origine de cette décision.]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 7 mars 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 7 mars 2024 à 9 h avec l’ordre du jour suivant :

* Election de quatre membres de la formation restreinte et de son président ;
* Examen d’un projet de délibération relative au renouvellement des membres du collège de la CNIL chargés de l’exercice indirect des droits.

Partie I (avec débats):
* Présentation des actions menées par la CNIL en matière de cybersécurité ;
* Examen d’un projet de délibération portant avis sur un projet de décret pris pour l’application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques ;
* Audition du Directeur général de l’ANSSI.

Partie II (sans débats)
Examen d’un projet de délibération portant avis sur un projet de décret portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « Logiciel de rédaction spécialisé du judiciaire » (LRSDJ).

Disponible sur: CNIL.fr

CNIL

Tests génétiques sur Internet : la CNIL appelle à la vigilance

Les tests génétiques vendus en kit sur Internet, notamment à visée généalogique, connaissent un fort succès. Qualifiés de « récréatifs », leur utilisation comporte pourtant des risques liés à la fiabilité des résultats et à l’absence de transparence sur l’utilisation des données personnelles sensibles recueillies.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

CNIL (via Legifrance)

La CNIL sanctionne la société Foriou pour des faits de démarchage commercial en l’absence de base légale

Par une décision n°SAN-2024-003 du 31 janvier 2024, la formation restreinte de la CNIL a condamné la société de gestion de programmes et de cartes de fidélité Foriou à une amende de 310 000€ pour défaut de base légale concernant le traitement de données réalisés avec des données acquises auprès de tiers. Il y a toutefois plusieurs points intéressants :
* Ce défaut de base légale reproché à la société Foriou est en partie la conséquence de manquements de la société auprès de laquelle elle se fournissait en données : la collecte initiale ne permettait pas la réutilisation des données par la société Foriou à des fins de prospection commerciale, les fournisseurs n’ayant pas respecté leurs engagements contractuels. Ainsi, seul le consentement obtenu par la société Foriou était en capacité de « sauver » le traitement (et n’a pas été demandé en l’espèce).
* La société Foriou n’ayant « pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder [à des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données,] les deux bases légales susceptibles d’être applicables en l’espèce ont été examinées successivement par la Commission. » Il est ainsi notable que la CNIL n’a pas décidé de sanctionner l’incapacité de la société à justifier de la base légale fondant le traitement, mais la véritable absence de base légale pour le traitement de prospection commerciale. 

Dans cette affaire, les deux bases légales  examinées sont l’intérêt légitime ainsi que le consentement.

S’agissant de l’intérêt légitime : Pour déterminer si cette base légale est valablement utilisable par la société FORIOU, la Commission observe les pratiques réalisées par les fournisseurs des données. En l’espèce,  « la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société. » Aussi,  » s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU. » Enfin, « concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste. »
En conséquence, la formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.

S’agissant du consentement :  Une fois encore, la Commission observe les pratiques réalisées par les fournisseurs des données. Par exemple: « il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. « 

Le fait que le destinataire de données soit tenu responsable de manquements directement imputables au primo-collectant est, à notre connaissance, une première en France. C’est néanmoins une solution logique dès lors que les données sont collectées par un tiers qui est en charge de fonder légalement le traitement ultérieur de prospection commerciale. Lorsqu’une société de prospection compte s’appuyer sur la base légale de la collecte initiale, s’il est non seulement nécessaire qu’elle encadre contractuellement les relations avec son fournisseur de manière convenable, il est également important qu’elle contrôle le régulièrement pour vérifier ses pratiques.

Disponible sur: legifrance.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

L’impact économique du RGPD, 5 ans après

Cinq ans après l’entrée en application du RGPD, la littérature économique s’est penchée sur son impact économique sur les entreprises. La plupart de ces études se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes.

Disponible sur: CNIL.fr

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Le CLOUD fiché par la CNIL !

Par Haas Avocats

La CNIL publie deux fiches pour éclairer les acteurs ayant recours au CLOUD et notamment au chiffrement et l’utilisation d’outils de sécurité et de performance.

Disponible sur: haas-avocats.com

Retour en haut