Dernières actualités : données personnelles

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

L’Usine digitale

Cybersécurité : L’auto-école en ligne Ornikar victime d’une fuite de données personnelles

Ornikar, start-up française spécialisée dans la révision du code en ligne et dans la réservation de cours de conduite pour passer le permis, a averti le 24 octobre ses clients d’une « intrusion externe dans [son] système d’information ». Une cyberattaque qui a laissé fuité de nombreuses données personnelles, dont les noms, prénoms et dates de naissance de ses clients, mais aussi leurs adresses e-mail, leurs numéros de téléphone et leurs adresses postales. La plateforme précise que les « données bancaires et mots de passe n’ont pas été compromis lors de cet incident ».

Disponible sur: usine-digitale.fr

NOYB – None of your business

Voici une idée, Pinterest : Demandez le consentement des utilisateurs avant de les suivre !

Aujourd’hui, NOYB a déposé une plainte contre la plateforme de médias sociaux Pinterest. La plupart des utilisateurs la connaissent probablement comme un tableau d’humeur visuel et l’utilisent pour trouver des idées et de l’inspiration. Les annonceurs, quant à eux, utilisent la plateforme pour promouvoir leurs produits auprès des consommateurs. Sans surprise, le modèle économique de Pinterest repose également sur la publicité personnalisée et le suivi des utilisateurs qui y est associé. Le problème : malgré un arrêt de la CJUE interdisant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement. Pinterest prétend faussement avoir un « intérêt légitime » et active le suivi par défaut. La plupart des autres sites web ont abandonné cet argument juridiquement erroné depuis des années.

Pinterest Header

Disponible sur: noyb.eu

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

CNIL

Affaires publiques et lobbying : les professionnels du secteur publient un guide RGPD en concertation avec la CNIL

Afin d’aider les professionnels du secteur à se mettre en conformité avec le RGPD, plusieurs associations représentatives des professionnels des affaires et des relations publiques ont élaboré ensemble un guide, rédigé en concertation avec la CNIL.
Selon l’article, ce guide poursuit principalement deux objectifs :
* apporter de la sécurité juridique aux professionnels des affaires publiques dans leurs activités quotidiennes ;
* permettre à ces professionnels de mener des actions concrètes pour assurer la protection des données personnelles qu’ils utilisent.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

Retour en haut