Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Protection des consommateurs et des données personnelles : la CNIL et la DGCCRF renforcent leur coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent le plus souvent de l’exploitation commerciale de leurs données personnelles. La progression constante de cette dimension numérique dans les échanges économiques fait de la protection des consommateurs et de la protection des données des enjeux liés et complémentaires, nécessitant une coopération étroite entre les autorités concernées. C’est pourquoi la Commission nationale de l’informatique et libertés (CNIL), autorité chargée de veiller à la protection des données, et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), autorité chargée de la protection des consommateurs, ont signé un premier protocole de coopération en 2011, dans l’objectif d’une meilleure protection des consommateurs dans l’espace numérique.

Pour promouvoir cette coopération et l’adapter aux évolutions du cadre légal et de l’économie numérique, le protocole a été revu une première fois en 2019. Depuis, les deux autorités ont échangé plusieurs dizaines de signalements, luttant ainsi contre les pratiques commerciales abusives et non conformes à la protection des données, sur des sujets tels que la prospection liée à la rénovation ou la gestion des programmes de fidélité. Dans le but de renforcer davantage cette coopération entre les deux autorités, Marie-Laure Denis, présidente de la CNIL, et Sarah Lacoche, directrice générale de la DGCCRF, signent aujourd’hui un nouveau protocole, dont les objectifs sont détaillés ci-dessous.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 14 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 14 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret du 11 février 2021 relatif aux modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et des droits indirects de traitements informatisés et automatisés permettant la collecte et l’exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
* Présentation d’une synthèse des conclusions des États généraux de l’information ;
* Présentation d’un observatoire des parcours d’exercice des droits RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant agrément d’APAVE CERTIFICATION pour la certification des compétences du délégué à la protection des données ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État relatif au recrutement des agents recenseurs mentionnés à l’article 156 de la loi n°2002-276 du 27 février 2002 relative à la démocratie de proximité;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe COFACE.

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Silver économie (économie des seniors) : le plan d’action de la CNIL

Le développement de la silver économie répond à la transition démographique vécue par de nombreux pays occidentaux. La nature des données traitées et le ciblage en fonction de l’âge soulève d’importants enjeux en matière de protection des données. La CNIL publie son plan d’action pour accompagner l’ensemble des acteurs de la filière.

La filière de la silver économie (économie des seniors) englobe l’ensemble des activités qui bénéficient aux seniors (60 ans et plus). Il s’agit d’une économie transversale présente dans une multitude de secteurs et qui, le plus souvent, consiste en des offres de services et de biens visant à améliorer la qualité de vie des seniors, à préserver leur autonomie, et à apporter des solutions aux personnes fragiles ou en dépendance.

Cette filière recouvre de nombreux champs d’actions, tels que :
* la santé et la nutrition ;
* la sécurité et l’autonomie ;
* l’habitat ;
* les services ;
* les loisirs et activités adaptées ;
* la communication ;
* les transports et la mobilité.

Les seniors représenteront environ 24 millions de personnes en France d’ici 2060. Le vieillissement de la population entraîne l’émergence de plus en plus de produits et de services à destination des personnes âgées. La filière de la silver économie soulevant des problématiques importantes tant d’ordre juridique qu’éthique, la CNIL a décidé d’engager des travaux destinés à ces acteurs.

Disponible sur: CNIL.fr

Datatilsynet (autorité danoise)

La police danoise interrogée sur ses systèmes de reconnaissance faciale par Datatilsynet

Ce jour, l’autorité danoise de protection des données (Datatilsynet) a annoncé avoir, courant septembre, posé des questions sur les considérations de la police nationale danoise concernant la protection des données dans le cadre de l’utilisation prévue par la police de la reconnaissance faciale. Ces questions ont été soulevées à la suite de la décision du gouvernement et d’un certain nombre de partis politiques de donner à la police des possibilités accrues d’utiliser la reconnaissance faciale dans le cadre d’enquêtes. Par exemple, parmi les questions posées figuraient la préparation d’une analyse d’impact et la consultation préalable de l’autorité.

Dans sa réponse à Datatilsynet, la police nationale danoise indique qu’aucune évaluation d’impact n’a encore été préparée pour le projet pilote impliquant la reconnaissance faciale, étant donné que l’acquisition du système concerné n’en est qu’à ses débuts. Toutefois, la police nationale danoise souligne que l’analyse d’impact sera lancée dès que les bases nécessaires seront présentes dans le projet et que l’autorité sera informée du résultat.

Dans ses échanges avec la police, l’autorité a rappelé que tout traitement de données à caractère personnel couvert par la loi danoise sur l’application de la loi – y compris le traitement pour les tests et les projets pilotes – doit être conforme aux règles du RGPD. Cela signifie, entre autres, que si le traitement de données à caractère personnel nécessite une analyse d’impact, cette analyse doit être effectuée avant le début du traitement.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 7 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 7 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Présentation de la revue de la littérature scientifique concernant les enjeux de prise de décision automatisée ;
* Point sur le statut des modèles d’IA.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif au système d’information du compte personnel de formation, au traitement de données à caractère personnel dénommé « Mon Activité de Formation » et à l’accès de la Caisse des dépôts et consignations à diverses données ;
* Examen de quatre projets de délibérations portant sur les traitements NAVPRO, OEDIPP, PUMA et SIMBA :
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant modification de l’arrêté du 26 novembre 2015 portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires professionnels dénommé « NAVPRO » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté portant création d’un traitement de données à caractère personnel relatif à l’organisation des épreuves et la délivrance informatisée des permis de conduire les bateaux de plaisance à moteur dénommé « OEDIPP » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires de plaisance dénommé « PUMA » et au traitement automatisé permettant la gestion du droit annuel de francisation et de navigation ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 novembre 2011 portant création d’un traitement automatisé d’informations relatif à l’enregistrement des bateaux de plaisance naviguant ou stationnant dans les eaux intérieures nationales dénommé « SIMBA ».

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut