Dernières actualités : données personnelles

DPA (autorité grecque)

1 octobre 2024

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

24 septembre 2024

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

APD (autorité belge)

23 septembre 2024

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

APD (autorité belge)

1 septembre 2024

100 000 euros d’amende pour l’opérateur ayant mis 14 mois à répondre à une demande d’exercice des droits

Dans une décision publiée le 23 aout 2024, l’autorité de protection des données belge a prononcé une amende de 100 000 euros à l’encontre d’un opérateur de télécommunications belge (dont le nom n’est pas publié) pour ne pas avoir répondu à une demande d’exercice des droits dans les temps, ou, plutôt, pour n’avoir obtenu une réponse qu’après que 14 mois se soient écoulés.

Il s’agissait au départ d’une demande d’information : n’ayant pas trouvé l’adresse du DPO concerné, celle-ci a adressé une demande en ce sens dans le chat Facebook Messenger de l’opérateur, mais l’employé de l’opérateur n’a pas su lui fournir ladite adresse. L’employé s’étant tout de même proposé pour traiter la demande, le particulier a poursuivi sa démarche et a exercé son droit d’accès en demandant qui, parmi les employés de l’opérateur a accédé à ses données personnelles. L’employé a répondu ne pas avoir la possibilité de le savoir, et que la demande se situe « au-delà de [son] champs d’intervention ».

Finalement, en l’absence de réponse et après les délais écoulés, le particulier a déposé une plainte auprès de l’APD qui l’a estimée recevable. Une enquête a été ouverte, à la suite de laquelle l’autorité a conclu « que la défenderesse n’a pas facilité l’exercice des droits de la personne concernée conformément à l’article 12.2 du RGPD en ce que bien qu’il existait un canal de communication électronique, elle n’a pas été en mesure de répondre à la demande du plaignant ou à la rediriger auprès – à titre d’exemple – de son DPO telle qu’elle aurait dû le faire afin de garantir toute l’effectivité de l’article 12.2 du RGPD et donc, de l’article 15 du RGPD exercé par le plaignant« .
Quand bien même la personne a reçu une réponse au cours de la procédure lancée par l’APD, l’autorité « relève que la violation des articles 12.3 et 15 du RGPD est indéniable, en ce que la défenderesse ne conteste pas avoir répondu à la demande d’accès du plaignant avec 14 mois de retard. En ayant répondu à la demande d’accès du plaignant bien au-delà du délai fixé par l’article 12.3 du RGPD, la défenderesse s’est rendue coupable d’une violation continue du droit d’accès du plaignant 14 mois durant. »

Conséquence pour la société ? Une amende de 100 000 euros.

Petit bonus : dans sa décision, l’APD précise que « concernant le canal de communication utilisé lors des échanges entre le plaignant et la défenderesse entre le 25 janvier 2022 et le 13 mars 2022, la Chambre Contentieuse tient à rappeler à titre strictement informatif et sans que cela ne puisse constituer une quelconque prise de position de sa part qui pourrait aboutir à une sanction que la défenderesse doit, en plus de garantir que les réponses accordées aux plaignants via le chat Facebook soient d’une qualité suffisante, s’assurer que ce canal de communication réponde aux exigences de sécurité appropriées telles que définies aux articles 5.1.f), 24, 25 et 32 du RGPD. »

Disponible (en anglais) sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

18 juillet 2024

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

18 juillet 2024

Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque

Lors de la dernière plénière du Comité européen de la protection des données (CEPD) en date du 16 juillet, les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024. En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Selon la CNIL, une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.

Disponible sur: CNIL.fr

CNIL (via legifrance)

17 juillet 2024

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

12 juillet 2024

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

CNIL

10 juillet 2024

Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network

En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.

Cette année, l’audit, dit également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs), composé d’autorités de protection des consommateurs.
La CNIL vous expose sa méthodologie ainsi que les résultats observés dans l’article ci-dessous.

Disponible sur: CNIL.fr

CNIL

3 juillet 2024

Marché en ligne et exercice des droits des personnes : sanction de 2.3 millions d’euros à l’encontre de VINTED

Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276 millions d’euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme. VINTED propose une plateforme de marché en ligne communautaire qui permet à ses 50 millions d’utilisateurs actifs mensuels dans le monde de vendre, d’acheter et d’échanger des vêtements et accessoires d’occasion.

Dès 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. Cette thématique a d’ailleurs fait l’objet d’un article de la CNIL en novembre 2021 qui a annoncé l’ouverture de contrôles. En application des procédures de coopération instaurées par le RGPD, c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie.

L’enquête menée a permis confirmer les faits reprochés à VINTED par les plaignants :
* L’entreprise n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. En particulier, la société ne justifiait pas les raisons de ses refus et refusait des requêtes « au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD » ;
* L’entreprise n’a pas non plus été en capacité de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
* Enfin, l’entreprise a mis en œuvre le « bannissement furtif » ou « shadow banning » en anglais de manière illicite, notamment sans en informer les utilisateurs.

Le « shadow banning » est une méthode de bannissement très pratiquée par les éditeurs de jeux vidéos en ligne et consistant à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur ne respectant pas les règles de la plateforme sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Dans leurs communiqués, la CNIL et l’autorité lituanienne expriment des positions similaires sur cette pratique.
La CNIL explique ainsi que « bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

[Ajout contextuel Portail RGPD: Bien que les autorités ont été prudentes en ne prononçant pas une interdiction de principe de la pratique du « shadow banning » (qui aurait probablement été retoquée pour excès de pouvoir), il s’agit là d’une décision qui pourrait la remettre en cause de manière générale, dans la mesure où tout son intérêt porte sur le fait que l’utilisateur n’en est pas informé : en effet, son objectif n’est en réalité pas tant d’éviter la commission d’un comportement (ce qui peut effectivement être atteint par le blocage complet), mais plutôt d’éviter que l’utilisateur recrée un compte aussitôt après avoir été bloqué afin de poursuivre son comportement fautif. Dès lors, si une information générale a priori n’est pas considérée comme suffisante par les autorités (ce qui semble être le cas au regard des communiqués), la pratique perdrait une grande partie de son intérêt, ce qui risquerait de pousser les responsables de traitement à traiter beaucoup plus de données afin d’éviter la création de nouveaux comptes.]

Disponible sur: CNIL.fr. L’article de l’autorité lituanienne est également disponible (en anglais).