Dernières actualités : données personnelles

PIPC (autorité coréenne)

 La PIPC  organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines tels que l’université, le droit, la société civile et les organisations d’affaires) sur les transferts transfrontaliers de données personnelles le mardi 19 novembre, afin de procéder à une évaluation de la reconnaissance d’équivalence pour l’Union européenne (UE) par un comité d’experts. Le PIPC analyse le système juridique et le système de protection de l’Union européenne depuis février, date à laquelle il a préparé un plan visant à promouvoir la reconnaissance de l’équivalence de la protection des informations personnelles à l’UE, et l’évaluation du Comité d’experts marque le début du processus de collecte d’opinions publiques et privées.

Voilà un pas de plus vers la reconnaissance mutuelle d’adéquation !

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d’assistance au contentieux). Ce Code de conduite est le fruit de l’article 40 du « UK GDPR » [équivalent de l’article 40 du RGPD européen], selon lequel les organisations peuvent créer des codes de conduite qui identifient et abordent les questions de protection des données qui sont importantes pour leur secteur. Ce code, auquel les enquêteurs du secteur privé peuvent adhérer, apportera certitude et assurance à ceux qui utilisent leurs services, en garantissant que les enquêteurs se conforment aux exigences du GDPR britannique.

Il aidera les enquêteurs à relever le défi de mener des enquêtes tout en respectant le droit à la vie privée des personnes. Le code aborde les principales questions de protection des données auxquelles est confronté le secteur des enquêtes privées. Par exemple, les rôles et responsabilités des membres du code lorsqu’ils agissent en tant que contrôleurs de données, contrôleurs conjoints ou processeurs, et quand et comment réaliser une évaluation de l’impact de la protection des données. Il aide également les membres du code à identifier et à documenter la base légale correcte pour le traitement invisible – y compris la surveillance secrète, les dispositifs de repérage, les vérifications d’antécédents et la surveillance des médias sociaux. D’autres conseils sont également inclus, avec des exemples, pour tracer et localiser légalement des personnes.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

La Corée du Sud veut reconnaître l’UE « adéquate » afin de supprimer les obstacles à l’échange de données

En décembre 2021, l’Union européenne a publié une décision d’adéquation pour la Corée, reconnaissant le niveau de protection des données à caractère personnel en Corée comme équivalent à celui de l’Union européenne et autorisant le transfert de données à caractère personnel des États membres de l’UE vers la Corée (transferts offshore). Toutefois, comme il n’existait pas de système équivalent en Corée à l’époque, une décision mutuelle d’adéquation n’a pas pu être mise en œuvre et une décision unilatérale d’adéquation a été prise, qui n’a autorisé que le transfert de données à caractère personnel de l’UE vers la Corée.

La Corée du Sud a, depuis, modifié sa loi : ainsi, a l’occasion de la 46e Assemblée mondiale de la protection de la vie privée (GPA), le commissaire Ko a expliqué au ministre Reinders le fonctionnement du système de reconnaissance d’équivalence en Corée du Sud (équivalent du système d’adéquation), qui a été introduit par l’amendement de la loi sur la protection des informations personnelles l’année dernière, et les deux organisations ont convenu de continuer à renforcer leur coopération. La PIPC a choisi l’Union européenne comme premier pays à être considéré pour le système de reconnaissance d’équivalence afin de renforcer la coopération avec l’Union européenne, avec laquelle il a un partenariat stratégique de longue date et de confiance, et de soutenir la forte demande de transferts d’informations transfrontaliers sécurisés.

Pour rappel, l’Assemblée mondiale de la protection de la vie privée est la plus grande consultation internationale sur la protection de la vie privée, avec 140 organisations de 92 pays, dont la Corée, les États-Unis, l’Union européenne, le Royaume-Uni et le Japon, et se tient chaque année, la réunion de 2025 étant prévue à Séoul.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Retour en haut