Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

PIPC (autorité coréenne)

 La PIPC  organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines tels que l’université, le droit, la société civile et les organisations d’affaires) sur les transferts transfrontaliers de données personnelles le mardi 19 novembre, afin de procéder à une évaluation de la reconnaissance d’équivalence pour l’Union européenne (UE) par un comité d’experts. Le PIPC analyse le système juridique et le système de protection de l’Union européenne depuis février, date à laquelle il a préparé un plan visant à promouvoir la reconnaissance de l’équivalence de la protection des informations personnelles à l’UE, et l’évaluation du Comité d’experts marque le début du processus de collecte d’opinions publiques et privées.

Voilà un pas de plus vers la reconnaissance mutuelle d’adéquation !

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

Numerama – Cyberguerre

Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés

Auchan piraté

À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail à sa clientèle pour lui signaler une fuite de données. On parle du nom, prénom, mail, adresse postale, numéro de téléphone, date de naissance, et d’informations secondaires (composition du foyer, numéro de la carte de fidélité et montant de la cagnotte).

Disponible sur: numerama.com

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Protection des consommateurs et des données personnelles : la CNIL et la DGCCRF renforcent leur coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent le plus souvent de l’exploitation commerciale de leurs données personnelles. La progression constante de cette dimension numérique dans les échanges économiques fait de la protection des consommateurs et de la protection des données des enjeux liés et complémentaires, nécessitant une coopération étroite entre les autorités concernées. C’est pourquoi la Commission nationale de l’informatique et libertés (CNIL), autorité chargée de veiller à la protection des données, et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), autorité chargée de la protection des consommateurs, ont signé un premier protocole de coopération en 2011, dans l’objectif d’une meilleure protection des consommateurs dans l’espace numérique.

Pour promouvoir cette coopération et l’adapter aux évolutions du cadre légal et de l’économie numérique, le protocole a été revu une première fois en 2019. Depuis, les deux autorités ont échangé plusieurs dizaines de signalements, luttant ainsi contre les pratiques commerciales abusives et non conformes à la protection des données, sur des sujets tels que la prospection liée à la rénovation ou la gestion des programmes de fidélité. Dans le but de renforcer davantage cette coopération entre les deux autorités, Marie-Laure Denis, présidente de la CNIL, et Sarah Lacoche, directrice générale de la DGCCRF, signent aujourd’hui un nouveau protocole, dont les objectifs sont détaillés ci-dessous.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 14 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 14 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret du 11 février 2021 relatif aux modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et des droits indirects de traitements informatisés et automatisés permettant la collecte et l’exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
* Présentation d’une synthèse des conclusions des États généraux de l’information ;
* Présentation d’un observatoire des parcours d’exercice des droits RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant agrément d’APAVE CERTIFICATION pour la certification des compétences du délégué à la protection des données ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État relatif au recrutement des agents recenseurs mentionnés à l’article 156 de la loi n°2002-276 du 27 février 2002 relative à la démocratie de proximité;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe COFACE.

Disponible sur: CNIL.fr

PIPC (autorité coréenne)

Créer un environnement sûr pour l’utilisation des caméras IP afin de réduire l’anxiété du public telle que l’atteinte à la vie privée 

Le ministère des sciences et des TIC (le ministre Yoo Sang-im, ci-après dénommé « MSIT »), la Commission de protection des informations personnelles (le président Ko Hak-soo, ci-après dénommé « Commission de protection des informations personnelles »), la Commission coréenne des communications (le président par intérim Kim Tae-kyu, ci-après dénommé « KCTC ») et l’Agence nationale de police (le commissaire Choi Ji-ho) ont aujourd’hui annoncé qu’ils allaient mettre en place et promouvoir le « Plan d’amélioration de la sécurité des caméras IP » afin de répondre à l’inquiétude du public causée par le piratage des caméras IP et les fuites de vidéos.

Ce plan tourne autour de plusieurs axes:
– Préparer des politiques dans le domaine de la protection de la vie privée numérique par le biais de l' »équipe de promotion du soutien civil au service numérique »
– Équiper les produits d’une fonction de réglage du mot de passe à haut niveau de sécurité lors de la fabrication des produits
– Obligation d’utiliser des caméras IP certifiées pour la sécurité dans les installations à usage multiple étroitement liées à la vie publique
– Renforcement des enquêtes de sécurité sur les caméras IP et répression des dispositifs illégaux

Le ministre du MSIT, Yoo Sang-im, a déclaré : « Les caméras IP sont largement utilisées dans notre vie quotidienne à l’ère de l’intensification numérique, il est donc important de créer un environnement dans lequel elles peuvent être utilisées en toute sécurité » « Nous travaillerons avec les ministères concernés et l’industrie pour promouvoir sans heurts les questions politiques visant à renforcer la sécurité des caméras IP », a-t-il ajouté.

« Avec le développement de la technologie, divers produits informatiques ayant des fonctions de collecte d’informations personnelles, tels que les caméras IP et les tablettes murales, sont largement utilisés dans la vie quotidienne, et les préoccupations concernant la violation des informations personnelles augmentent », a déclaré Ko Hak-soo, président de la Commission des informations personnelles. » Grâce à ces mesures, nous améliorerons activement la sécurité des caméras IP afin que les consommateurs puissent les utiliser en toute confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut