Dernières actualités : données personnelles

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des amendes d’un montant de plus de 140 000 euros infligées à deux entreprises pour des campagnes de marketing prédateur

L’ICO a annoncé ce jour avoir infligé des amendes à deux entreprises pour avoir effectué des appels commerciaux illégaux à des personnes enregistrées auprès du Telephone Preference Service (TPS). Ces appels ont ainsi été adressés à des personnes qui avaient explicitement refusé de recevoir des communications commerciales, violant ainsi leur vie privée et causant, dans certains cas, une grande détresse. Il est clairement établi que, dans les deux cas, les personnes âgées et les personnes atteintes de maladies telles que la démence ont été ciblées. Certaines personnes ont fait l’objet d’appels téléphoniques répétés, tentant de les pousser à acheter des garanties pour des produits blancs, tels que des réfrigérateurs et des machines à laver, dont elles n’avaient pas besoin.

En conséquence :

  • WerepairUK Ltd, basée à Tonbridge, a été condamnée à une amende de 80 000 £ (environ 95 000 euros) pour avoir effectué 42 688 appels non sollicités. L’entreprise a fait appel de la décision.
  • Service Box Group Limited, basé à Hove, East Sussex, a été condamné à une amende de 40 000 £ (environ 48 000 euros) pour 5 361 appels.

Andy Curry, responsable des enquêtes à l’Information Commissioner’s Office, a déclaré :  « Nous avons pris des mesures décisives à l’encontre de WerepairUK Ltd et de Service Box Group Limited, deux sociétés qui ont causé une détresse considérable en ciblant des personnes qui courent un risque accru de subir des préjudices. Ces pratiques commerciales prédatrices sont illégales et relèvent d’une profonde exploitation. Nous restons déterminés à protéger le public, en particulier les personnes qui ne sont pas en mesure de se défendre contre de telles tactiques. Ces amendes portent à 1,57 million de livres sterling le montant total des sanctions infligées dans le cadre de cette dernière vague d’action contre le marketing prédateur. Cela reflète notre détermination à faire en sorte que les responsables de ces actions préjudiciables soient tenus pour responsables.

Outre les mesures que nous avons prises, il existe des mesures simples que nous pouvons tous prendre pour nous protéger, ainsi que notre famille et nos amis, contre les pratiques commerciales illégales. L’inscription au TPS est gratuite, rapide et facile ; et si vous êtes inscrit au TPS et que vous recevez encore des appels, veuillez nous en informer via notre outil de signalement en ligne. Nous pourrons alors prendre des mesures pour y mettre fin ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

 Le « règlement » de l’autorité belge de protection des données s’est transformé en ordre juridique sur les bannières de cookies trompeuses

À la suite de plusieurs plaintes déposées par NOYB en 2023, l’autorité belge de protection des données a ordonné à quatre grands sites d’information belges de mettre leurs bannières de cookies en conformité avec le GDPR. Plus précisément, De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen doivent ajouter un bouton « rejeter » à la première couche de leurs bannières de cookies. En outre, les sites d’information ont reçu l’ordre de modifier le schéma de couleurs des boutons utilisés, qui est actuellement trompeur. Si le responsable du traitement (Mediahuis) ne se conforme pas à cette obligation, il s’expose à une amende de 50 000 euros par jour et par site web.

Two people exchaning a cookie for money

Disponible sur: noyb.eu

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Amende de 600 000 euros pour des cookies de suivi non conformes sur le site internet Kruidvat

L’Autorité des données personnelles (AP) a imposé une amende de 600 000 euros à la société derrière la droguerie Kruidvat pour avoir suivi les visiteurs de leur site internet avec des cookies de suivi à leur insu et sans leur consentement. La société à l’origine de Kruidvat, AS Watson (Health & Beauty Continental Europe), a en outre collecté ces données auprès des visiteurs du site web afin de créer des profils personnels de ces personnes.
Effectivement, outre les données de localisation des visiteurs (tracée via l’adresse IP du visiteur unique), ces données comprenaient les pages qu’ils avaient visitées, les produits qu’ils avaient ajoutés à leur panier et achetés, ainsi que les recommandations sur lesquelles ils avaient cliqué. L’autorité précise qu’ il s’agit d’informations très sensibles, en raison de la nature spécifique des produits de droguerie: il peut en effet s’agir de tests de grossesse, de contraceptifs ou de médicaments pour toutes sortes d’affections. La société a en conséquence été condamnée à payer une amende de 600 000 euros.

Aleid Wolfsen, président de l’AP estime que  « les cookies de suivi ou les logiciels de suivi permettent aux organisations de surveiller votre comportement sur Internet. Cela n’est pas permis sans autorisation et sans que vos clients en soient informés. En effet, ce que vous faites sur l’internet est très personnel. Une organisation n’est autorisée à le suivre que si vous y consentez explicitement. Et vous devez être en mesure de refuser ce logiciel de suivi, sans que cela ne vous porte préjudice. »

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

GPDP (autorité italienne)

 Italie : Plus de 6 millions d’euros d’amendes à payer par le fournisseur d’énergie Eni Plenitude pour des pratiques de prospection non conformes

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction du fournisseur d’énergie Eni Plenitude, qui a été condamné à une amende de près de 6,5 millions d’euros le 6 juin 2024.  Selon elle, cette mesure fait suite à 108 signalements et 7 plaintes contre la société, de personnes qui se plaignaient de recevoir des appels téléphoniques non désirés. Au cours de l’enquête ouverte en réponse à ces signalements et plaintes, l’autorité indique avoir demandé à Eni Plenitude les données relatives aux propositions d’achat faites par le réseau de vente et conclues avec l’activation de services énergétiques, concernant une « semaine échantillon ». Résultat: sur 747 contrats conclus dans la période identifiée, 657 provenaient d’un contact illégitime. Des chiffres qui, s’ils étaient hypothétiquement projetés sur une année, conduiraient à 32 850 fournitures activées de manière illicite. Ces chiffres expliquet aisément pourquoi ces pratiques continuent quand bien même elles sont constamment dénoncées et régulièrement sanctionnées.

Toujours selon l’autorité, les lacunes concernant le contrôle et la surveillance des agences et sous-agences et le mélange des bases de données sont particulièrement graves. Selon la Garante, pour se conformer à la règle, il ne suffit pas de supprimer l’agent individuel ou d’effectuer des audits en cas d’anomalies, mais des mesures sont nécessaires pour empêcher que des contrats conclus sur la base de contacts téléphoniques illicites ou pour tirer un avantage économique d’un comportement illicite ne pénètrent dans les systèmes de l’entreprise.

Outre le paiement de la sanction, fait suffisamment rare pour le mettre en valeur, la Garante a imposé à Eni Plenitude l’interdiction de tout traitement ultérieur des données des plaignants et des dénonciateurs. L’entreprise devra également informer les 657 personnes contactées illégalement de l’issue de la procédure sur la base d’un texte à convenir avec l’Autorité, mettre en place des contrôles pour s’assurer que les contrats générés par les contacts illégaux n’entrent pas dans les actifs de l’entreprise, et garantir le respect des principes du traitement des données, avec une référence particulière aux obligations de mise à jour, d’effacement et de rectification des données personnelles relatives aux clients.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut