Dernières actualités : données personnelles

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta visant à introduire des comptes pour adolescents, dotés de mesures de protection supplémentaires.

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré : « Nous saluons les nouvelles protections d’Instagram pour ses jeunes utilisateurs suite à notre engagement avec eux. Notre code de l’enfance est clair sur le fait que les comptes des enfants doivent être configurés comme ‘haute confidentialité’ par défaut, à moins qu’il n’y ait une raison impérieuse de ne pas le faire. Nous continuerons à faire pression là où nous pensons que l’industrie peut aller plus loin, et nous prendrons des mesures là où les entreprises ne font pas ce qu’il faut. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Amende de 12 500 euros pour une université norvégienne qui n’a pas bien sécurisé ses données

Ce jour, l’autorité norvégienne de protection des données a annonce avoir infligé une amende de 150 000 NOK [environ 12500 euros] à l’université d’Agder (UiA) pour avoir enfreint le règlement général sur la protection des données. En particulier, il lui est reproché de ne pas avoir mis en œuvre les mesures appropriées pour garantir la sécurité des données à caractère personnel dans le cadre de son utilisation de Microsoft Teams.

En février 2024, un employé de l’UiA a découvert que des documents contenant des données personnelles avaient été stockés dans des dossiers Teams ouverts, auxquels des employés sans besoin professionnel avaient accès. L’infraction était en cours depuis que l’université avait commencé à utiliser Microsoft Teams en août 2018. Les données personnelles étaient accessibles dans le système, et les employés pouvaient y accéder via des recherches dans des dossiers ouverts. L’infraction concerne des documents contenant des données personnelles sur des employés, des étudiants et des acteurs externes. Environ 16 000 personnes enregistrées sont concernées.

Les données comprennent notamment des noms, des numéros de naissance, des informations sur les examens aménagés, le nombre de tentatives d’examen et des dispositions particulières. De plus, l’infraction incluait une liste des réfugiés d’Ukraine liés à l’université, avec des informations telles que les coordonnées, la formation et le statut de résidence.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les plateformes de médias sociaux et de partage de vidéos sont mises en garde sur la de protection de la vie privée des enfants

Nous demandons à 11 plateformes de médias sociaux et de partage de vidéos d’améliorer leurs pratiques en matière de protection de la vie privée des enfants. Les plateformes qui ne respectent pas la loi s’exposent à des mesures coercitives. Cette mesure fait suite à l’examen en cours des plateformes de médias sociaux (SMP) et de partage de vidéos (VSP) dans le cadre de notre stratégie du Code de l’enfance.

Notre laboratoire technique a examiné 34 SMP et VSP en se concentrant sur le processus par lequel les jeunes s’inscrivent pour obtenir un compte. Les niveaux d’adhésion à notre code de l’enfant varient, certaines plateformes n’en faisant pas assez pour protéger la vie privée des enfants. Onze des 34 plateformes sont interrogées sur des questions relatives aux paramètres de confidentialité par défaut, à la géolocalisation ou à l’assurance de l’âge, et doivent expliquer comment leur approche est conforme au code, à la suite des préoccupations soulevées par l’examen. Nous nous entretenons également avec certaines plateformes au sujet de la publicité ciblée afin de définir les changements attendus pour que les pratiques soient conformes à la fois à la loi et au code.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Les autorités nordiques publient un guide commun sur la protection des enfants jouant à des jeux sur internet

Les 13 et 14 octobre 2022, une « réunion nordique sur la protection des données » s’est tenue à Helsinki pour discuter des questions d’actualité dans le domaine de la protection des données et pour partager des expériences. Les autorités nordiques de protection des données (DPA) ont adopté la « Déclaration d’Helsinki », dans laquelle il a été convenu que la protection des données des enfants était une priorité pour les autorités nordiques.

L’autorité danoise de protection des données a attiré l’attention sur les conclusions d’un rapport de groupe de réflexion rédigé par la Danish Society Engineers et DataEthics.eu sur les technologies du jeu, les données et les enfants, qui met en lumière la nécessité de mieux protéger les droits des enfants jouant à des jeux numériques. Compte tenu de l’essor de l’industrie des jeux numériques, y compris dans les pays nordiques, les autorités de protection des données des pays nordiques ont décidé de créer un groupe de travail informel sur les enfants et les jeux en ligne. Ce groupe devait tout d’abord envisager des activités communes de sensibilisation et d’orientation afin de promouvoir les droits des enfants en matière de protection des données.

Le groupe de travail s’est particulièrement concentré sur la nécessité de fournir des orientations de base aux responsables du traitement des données qui doivent veiller à ce que les enfants bénéficient de la protection à laquelle ils ont droit lorsqu’ils conçoivent et développent des jeux numériques. Ce document, qui est le résultat de la coopération nordique telle qu’elle a été décidée à Helsinki en octobre 2022, fournit des conseils de base pour le traitement conforme au RGPD dans le contexte des jeux en ligne utilisés par les enfants. Il explore quatre des principes de traitement des données énoncés dans le règlement – équité, transparence, minimisation des données et responsabilité – et présente un certain nombre de questions et de considérations importantes pour les responsables du traitement. Les autorités annonce que ce guide n’a pas l’intention d’être exhaustif ; non seulement il existe d’autres principes de traitement des données, mais les principes sont tous délibérément de nature générale et nécessiteront des mises en œuvre différentes dans des circonstances différentes. De même, si les quatre principes examinés ici sont importants, ils complètent, plutôt qu’ils ne remplacent, les autres dispositions du RGPD. Il appartient donc aux responsables du traitement d’examiner minutieusement leurs activités de traitement et de déterminer ce qu’ils doivent faire pour se conformer à la loi et aux droits de leurs joueurs.

Disponible (en anglais) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur son approche vis à vis du secteur public

Ce jour, l’ICO a publié le communiqué suivant : « En juin 2022, nous avons révisé notre approche de la collaboration avec les organismes du secteur public et lancé un essai de deux ans, comme indiqué dans la lettre ouverte que nous avons publiée à l’époque. Tout en continuant à infliger des amendes aux organismes publics le cas échéant, nous avons également utilisé nos autres outils réglementaires pour veiller à ce que les informations des citoyens soient traitées de manière appropriée et que l’argent ne soit pas détourné des domaines où il est le plus nécessaire. Nous allons maintenant examiner les deux années d’essai avant de prendre une décision sur l’approche du secteur public à l’automne. Dans l’intervalle, nous continuerons à appliquer cette approche à nos activités réglementaires en relation avec les organisations du secteur public. »

Nous aurons probablement plus d’informations dans les semaines ou mois à venir !

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut