Dernières actualités : données personnelles

NOYB – None of your business

13 septembre 2024

Le « règlement » de l’autorité belge de protection des données s’est transformé en ordre juridique sur les bannières de cookies trompeuses

À la suite de plusieurs plaintes déposées par NOYB en 2023, l’autorité belge de protection des données a ordonné à quatre grands sites d’information belges de mettre leurs bannières de cookies en conformité avec le GDPR. Plus précisément, De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen doivent ajouter un bouton « rejeter » à la première couche de leurs bannières de cookies. En outre, les sites d’information ont reçu l’ordre de modifier le schéma de couleurs des boutons utilisés, qui est actuellement trompeur. Si le responsable du traitement (Mediahuis) ne se conforme pas à cette obligation, il s’expose à une amende de 50 000 euros par jour et par site web.

Disponible sur: noyb.eu

DPC (autorité irlandaise)

23 juin 2024

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

APD (autorité belge)

22 mai 2024

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée.»

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

7 mars 2024

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.