Dernières actualités : données personnelles

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La police danoise interrogée sur ses systèmes de reconnaissance faciale par Datatilsynet

Ce jour, l’autorité danoise de protection des données (Datatilsynet) a annoncé avoir, courant septembre, posé des questions sur les considérations de la police nationale danoise concernant la protection des données dans le cadre de l’utilisation prévue par la police de la reconnaissance faciale. Ces questions ont été soulevées à la suite de la décision du gouvernement et d’un certain nombre de partis politiques de donner à la police des possibilités accrues d’utiliser la reconnaissance faciale dans le cadre d’enquêtes. Par exemple, parmi les questions posées figuraient la préparation d’une analyse d’impact et la consultation préalable de l’autorité.

Dans sa réponse à Datatilsynet, la police nationale danoise indique qu’aucune évaluation d’impact n’a encore été préparée pour le projet pilote impliquant la reconnaissance faciale, étant donné que l’acquisition du système concerné n’en est qu’à ses débuts. Toutefois, la police nationale danoise souligne que l’analyse d’impact sera lancée dès que les bases nécessaires seront présentes dans le projet et que l’autorité sera informée du résultat.

Dans ses échanges avec la police, l’autorité a rappelé que tout traitement de données à caractère personnel couvert par la loi danoise sur l’application de la loi – y compris le traitement pour les tests et les projets pilotes – doit être conforme aux règles du RGPD. Cela signifie, entre autres, que si le traitement de données à caractère personnel nécessite une analyse d’impact, cette analyse doit être effectuée avant le début du traitement.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Allemagne, les contrôles de la SDTB permet d’améliorer la protection des données sur plus de 1 500 sites web saxons

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB) mené en juin, plus de 1.500 exploitants de sites web ont amélioré la protection des données de leurs pages. Lors d’un contrôle en mai de cette année, la SDTB a constaté l’utilisation illégale de Google Analytics sur 2 300 des 30 000 sites Internet saxons. Dans tous ces cas, le service d’analyse web a permis de collecter des données sans que les visiteurs n’aient donné leur consentement préalable : à l’installation de cookies d’analyse et/ou à l’établissement de connexions serveur avec Google Analytics.

La commissaire à la protection des données de Saxe, Dr. Juliane Hundert a déclaré que :
« Pour de nombreux citoyens, il est important de ne pas être traqué sans qu’on le leur demande lorsqu’ils utilisent Internet. Les analyses automatisées des sites web effectuées par mon administration ont non seulement permis d’identifier un grand nombre de violations de la protection des données, mais aussi d’en éliminer la majeure partie. Sur deux tiers des sites web identifiés, il est désormais renoncé à l’utilisation de Google Analytics pour le suivi du comportement des utilisateurs, ou un consentement clair est demandé au préalable. Le contrôle a également permis aux responsables d’améliorer le niveau de protection des données pour d’autres services. Ainsi, le nombre de cookies sur les sites contrôlés a diminué de moitié. C’est une bonne nouvelle pour la protection des données sur Internet. D’autres audits automatisés de sites web sont déjà prévus ».

L’autorité a également annoncé que les responsables qui, malgré la demande de la SDTB, continuent de traiter illégalement les données des utilisateurs avec Google Analytics, doivent désormais s’attendre à des sanctions.  L’autorité alerte également les responsables de traitement sur le fait qu’un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient. Dans certains cas, des services étaient exécutés et des cookies étaient installés alors que les paramètres indiquaient « désactivé ».

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Sanctions administratives imposées à un parti politique et à deux de ses dirigeants pour utilisation illégale de fichiers de listes électorales et absence de mesures de protection des données

Ce jour, l’autorité grecque a publié une sanction à l’encontre d’un parti politique et de deux de ses dirigeants pour avoir utilisé illégalement utilisé les listes électorales.  Cette affaire commence lorsqu’une plainte a été déposée contre une eurodéputée de la Nouvelle Démocratie. Il lui est en effet reproché d’avoir utilisé les données personnelles d’électeurs grecs vivant à l’étranger à des fins de communication politique en dehors de la période électorale. Les données en question, comprenant les noms, adresses e-mail et pays de résidence, ont été collectées par un ancien secrétaire de la Nouvelle Démocratie à l’aide de l’application WhatsApp et provenaient des registres du Ministère de l’Intérieur, initialement destinées à l’exercice du droit de vote.

L’enquête menée par l’Autorité de protection des données permis de confirmer les faits, et a également permis de qualifier plusieurs manquements grave par l’eurodéputée et son parti politique  :
* La collecte des données via WhatsApp est illégale, car effectuée sans l’accord des électeurs et en dehors des procédures électorales légales.
* L’eurodéputée a créé un fichier contenant ces données personnelles et l’a importé dans MailChimp pour envoyer des communications politiques, sans consentement des électeurs.
* L’argument de l’intérêt légitime (article 6(1)(f) du RGPD) invoqué par l’eurodéputée a été rejeté, car les droits des électeurs à la protection de leurs données personnelles l’emportent sur l’intérêt de l’eurodéputée à leur envoyer des informations politiques.
* Les électeurs concernés n’ont pas été suffisamment informés de l’usage de leurs données, en violation de l’article 14 du RGPD, qui exige la transparence.

L’Autorité a conclu que l’utilisation des données personnelles des électeurs grecs de l’étranger par l’eurodéputée constituait une violation des articles 5(1)(a) et 14 du RGPD concernant la légalité, la transparence et l’objectivité du traitement des données. Le Ministère de l’Intérieur a également été mis en cause pour ne pas avoir sécurisé adéquatement les données, permettant leur diffusion et traitement non autorisés. L’Autorité a donc ordonné la cessation de l’utilisation de ces données à des fins politiques et a recommandé des mesures de sécurité supplémentaires pour le Ministère de l’Intérieur.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be