Dernières actualités : données personnelles

ICO (autorité anglaise)

Nos recherches sur les perceptions du public concernant les produits de l’internet des objets (IoT) et la protection des données ont révélé que plus les gens en savent sur les produits, moins ils leur font confiance, ainsi qu’aux entreprises qui détiennent leurs informations personnelles.

L’ICO a mené une recherche sur la base d’un « jury citoyen » pour connaître l’opinion du public sur les produits de l’internet des objets (IoT). La recherche s’est concentrée sur les produits de l’IoT disponibles sur le marché de la consommation, tels que les trackers de fitness, les sonnettes, les téléviseurs connectés et les haut-parleurs intelligents. Le jury de citoyens a formulé ses attentes à l’égard des fabricants de ces produits. La recherche a exploré six domaines de la protection des données avec un échantillon national représentatif de participants : le consentement, la transparence, le profilage et la publicité, les droits individuels, la responsabilité et la sécurité.

Avant les ateliers organisés dans le cadre de l’engagement initial, les participants n’avaient pas spontanément reconnu que la collecte et le traitement des informations personnelles étaient des sujets de préoccupation.
De nombreux participants faisaient confiance aux fabricants et se sentaient généralement à l’aise avec la collecte de leurs données personnelles, Toutefois, certains ont exprimé des réserves. Seuls quelques participants ont pris des mesures proactives pour protéger leur vie privée et leur sécurité, par exemple en générant des mots de passe aléatoires, en fournissant des informations personnelles incorrectes ou en utilisant un réseau privé virtuel (VPN). Au fur et à mesure que les participants s’informaient, au cours des ateliers, sur la manière dont les produits IdO traitent les informations personnelles, ils devenaient de plus en plus sceptiques à l’idée de confier leurs informations personnelles aux produits IoT et aux entreprises qui en sont à l’origine.

L’ICO précise que ce travail n’en est qu’à ses débuts et qu’elle examinera les recommandations du jury citoyen en même temps que le reste de ses travaux avec les parties prenantes, notamment les fabricants de produits IoT, les associations professionnelles et le secteur tertiaire.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO enquête sur la nouvelle fonction « Recall » de Microsoft

Dans un communiqué publié hier, l’ICO annonce l’ouverture d’une enquête sur la fonctionnalité Recall récemment présentée par le géant :
« Nous attendons des organisations qu’elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu’elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L’industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de mettre des produits sur le marché. Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs. »

[Ajout contextuel Portail RGPD: Selon le site de Microsoft, Recall est une fonctionnalité qui « prend des instantanés de votre écran. Les instantanés sont pris toutes les cinq secondes lorsque le contenu de l’écran est différent de l’instantané précédent. Vos instantanés sont ensuite stockés localement et analysés localement sur votre PC. L’analyse de Recall vous permet de rechercher du contenu, y compris des images et du texte, en utilisant le langage naturel. Vous essayez de vous souvenir du nom du restaurant coréen mentionné par votre amie Alice ? Il vous suffit de demander à Recall de trouver des résultats textuels et visuels correspondant à votre recherche, automatiquement triés en fonction de leur degré de concordance avec votre recherche. Recall peut même vous renvoyer à l’emplacement exact de l’article que vous avez vu. »
Malgré l’affirmation de Microsoft selon laquelle tout serait réalisé en local et rien de sortirait de l’ordinateur de l’utilisateur (ce qui serait prouvé par le fait qu’une connexion internet ne serait pas requise pour utiliser Recall), de nombreuses inquiétudes ont émergé en lien avec le fait que tout élément apparaissant sur l’écran est susceptible d’être conservé : les mots de passe, les numéros de carte bancaire, les RIB, des numéros de sécurité sociale, etc. créant un risque très important pour les personnes concernées. En outre, il est difficilement imaginable que tous penseront à systématiquement supprimer les captures d’écran comprenant ces informations très sensibles.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO avertit les organisations qu’elles ne doivent pas ignorer les risques liés à la protection des données et nous concluons l’enquête sur le chatbot « My AI » de Snap.

Dans un communiqué publié ce jour, l’ICO annonce avoir conclu son enquête sur le lancement par Snap, Inc. du chatbot « My AI ».
« En juin 2023, nous avons ouvert une enquête sur « Mon IA » après avoir constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023. L’enquête nous a conduits à émettre un avis préliminaire d’exécution à l’encontre de Snap le 6 octobre 2023.

Notre enquête a permis à Snap de prendre des mesures importantes pour effectuer un examen plus approfondi des risques posés par « My AI » et nous démontrer qu’elle avait mis en œuvre des mesures d’atténuation appropriées. Nous sommes convaincus que Snap a désormais entrepris une évaluation des risques liés à « Mon IA » qui est conforme à la loi sur la protection des données. Nous continuerons à surveiller le déploiement de « Mon IA » et la manière dont les risques émergents sont traités. »

La décision finale sera publiée dans quelques semaines.
L’ICO profite de cet article pour « avertir l’industrie de s’engager dans les risques de protection des données de l’IA générative avant de mettre des produits sur le marché« , et compte bien « continuer à surveiller le développement et le déploiement de modèles d’IA générative et rappeler à l’industrie qu’elle doit innover de manière responsable« .

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Le stagiaire du loueur de voitures ‘Rent-A-Car’ condamné à une amende de 300€ pour avoir obtenu illégalement des données sur ses clients

Un ancien stagiaire en gestion chez Enterprise Rent-A-Car UK Limited (« Rent-A-Car ») a été condamné à payer une amende d’environ 300€ après avoir admis avoir obtenu illégalement des données de clients entre le 18 mars 2019 et le 1er avril 2019, alors que l’entreprise n’avait pas consenti à ce qu’il obtienne ces données, déclarant que l’accès à ces informations ne relevait pas de son rôle et qu’il n’y avait pas de nécessité professionnelle à ce qu’il le fasse.

Dans cette affaire, les préoccupations initiales ont été soulevées après que S. Saleem, 42 ans, se soit rendu sur son lieu de travail dans le West Yorkshire en dehors des heures prévues, le dimanche 31 mars 2019. Un audit interne a révélé qu’il avait passé 32 minutes à accéder à 39 enregistrements de données clients concernant 25 agences de location différentes. À la suite de cela, Rent-A-Car a mené une enquête interne qui a révélé que Saleem avait accédé à un certain nombre d’enregistrements contenant des données personnelles au cours de la période incriminée en 2019 – au total au moins 213 dossiers ont été consultés illégalement. Il a été licencié pour faute grave peu de temps après avant d’être condamné par l’ICO.

[Ajout contextuel Portail RGPD: Habituellement, les noms des personnes physiques condamnées par les autorités de protection des données ne sont pas publiés. Ici, la décision (non publiée) est rendue par une Cour pénale britannique – leur culture admettant plus facilement le « name-and-shame » que la notre : malgré tout, la décision de publier le nom du stagiaire pourrait lui causer un préjudice important allant bien au delà de la sanction financière – et ce alors même que les faits se sont déroulés il y a plus de 5 ans. Par exemple, n’importe quel futur employeur de ce stagiaire qui prendrait la peine de taper son nom risquerait fort de rejeter sa candidature. Enfin, il est notable que la durée de la publication intégrant le nom du stagiaire n’a pas été précisée dans la publication.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Décision du Tribunal de première instance sur le recours de « Join the Triboo »

Nous nous félicitons de la décision du First-tier Tribunal (General Regulatory Chamber) sur un appel de Join the Triboo Limited. La société de recrutement en ligne a fait appel d’une amende de 130 000 £ et d’un avis d’exécution émis par l’ICO en avril 2023 pour avoir envoyé 107 millions de courriels de spam à plus de 400 000 personnes sans leur consentement entre août 2019 et août 2020.

Dans un jugement rendu la semaine dernière, le Tribunal a rejeté l’appel contre l’amende et a confirmé le montant de la pénalité de 130 000 £. Le Tribunal a estimé que la politique de confidentialité de Join the Triboo était « mal signalée » et que l’inscription seule ne pouvait pas être considérée comme un consentement au marketing direct. Join the Triboo doit maintenant fournir des déclarations de consentement et des politiques de protection de la vie privée à jour pour que le Tribunal puisse les examiner avant de décider si l’avis d’exécution doit être maintenu.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration commune de l’Ofcom et de l’Information Commissioner’s Office sur la collaboration en matière de réglementation des services en ligne

« En tant qu’organismes responsables de la réglementation de la protection des données et de la sécurité en ligne au Royaume-Uni, l’Information Commissioner’s Office (ICO) et l’Ofcom s’engagent à protéger les utilisateurs en ligne. Nous cherchons à promouvoir la conformité et à soutenir l’innovation, à améliorer la clarté de la réglementation et à permettre une croissance continue en supprimant les charges réglementaires excessives. Nous avons publié une déclaration commune en 2021, exposant notre vision partagée d’un paysage réglementaire clair et cohérent pour les services en ligne, garantissant la conformité avec nos deux régimes.
Cette dernière déclaration s’appuie sur cette vision en exposant plus en détail la manière dont nous collaborerons lorsque nous identifierons des questions transversales de sécurité en ligne et de protection des données, ainsi que des opportunités dans notre réglementation de services spécifiques. Nous réexaminerons régulièrement cette approche de la collaboration pour nous assurer qu’elle reste efficace. Les nouvelles méthodes de travail décrites dans cette déclaration sont utilisées par les collègues opérationnels des équipes de l’ICO et de l’Ofcom qui supervisent et travaillent avec les services. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO inflige des amendes d’un montant total de 340 000 livres sterling à deux entreprises pour avoir effectué des appels commerciaux agressifs et non désirés

L’Information Commissioner’s Office (ICO) a condamné Outsource Strategies Ltd (OSL), basée à Cardiff, à une amende de 240 000 livres sterling et Dr Telemarketing Ltd (DRT), basée à Londres, à une amende de 100 000 livres sterling, après que les sociétés aient passé au total près de 1,43 million d’appels à des personnes inscrites sur le registre britannique des « personnes à ne pas appeler », le Telephone Preference Service (TPS). Les appels, tous effectués entre le 11 février 2021 et le 22 mars 2022, ont donné lieu à 76 plaintes auprès de l’ICO et du TPS. Les personnes qui se sont plaintes ont déclaré que les appelants étaient agressifs et utilisaient des tactiques de vente à haute pression pour les persuader de souscrire à des produits. L’enquête de l’ICO a également révélé que les deux sociétés ciblaient spécifiquement les personnes âgées et vulnérables.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’autorité anglaise sollicite des avis sur la précision des modèles génératifs d’IA afin de mettre à jour ses guides

L’Information Commissioner’s Office (ICO) a lancé le dernier volet de sa série de consultations sur la manière dont la loi sur la protection des données s’applique au développement et à l’utilisation de l’IA générative. La troisième consultation de la série porte sur la manière dont le principe d’exactitude de la protection des données s’applique aux résultats des modèles d’IA générative et sur l’impact que des données d’entraînement exactes ont sur les résultats. En effet, lorsque des personnes s’appuient à tort sur des modèles d’IA générative pour fournir des informations factuelles exactes sur des personnes, il peut en résulter des informations erronées, des atteintes à la réputation et d’autres préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Les courtiers en données suédois invoquent la protection juridique des journalistes pour se soustraire à la législation de l’UE

Grâce à une lacune dans la législation nationale, les courtiers en données peuvent exempter leur activité de la législation européenne sur la protection de la vie privée. Cela permet la vente incontrôlée des données personnelles de millions de personnes en Suède

Person standing on a press badge with the Swedish flag. In One hand he holds a briefcase with personal data, in the other hand a symbolic representation for personal data. To the right, there are hands offering money for said data.

Disponible sur: noyb.eu

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut