Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

UODO (autorité polonaise)

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

L’Usine digitale

Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate

Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit alors fournir “tous les éléments permettant d’identifier la personne”, soit son identité civile, les adresses IP recueillies et le numéro de téléphone utilisé pour la création du compte. D’après Free et Free Mobile, un cybercriminel dénommé “[Z] [L]” a adressé trois messages le 21 octobre sur la plateforme interne dédiée à la protection des données personnelles, ainsi qu’un quatrième au “président du groupe Iliad” (Xavier Niel) via Telegram. Le pirate informatique affirmait alors avoir les données en sa possession, menaçait de “les utiliser frauduleusement” et exigeait une rançon de 10 millions d’euros en cryptomonnaies.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés

Auchan piraté

À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail à sa clientèle pour lui signaler une fuite de données. On parle du nom, prénom, mail, adresse postale, numéro de téléphone, date de naissance, et d’informations secondaires (composition du foyer, numéro de la carte de fidélité et montant de la cagnotte).

Disponible sur: numerama.com

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Protection des consommateurs et des données personnelles : la CNIL et la DGCCRF renforcent leur coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent le plus souvent de l’exploitation commerciale de leurs données personnelles. La progression constante de cette dimension numérique dans les échanges économiques fait de la protection des consommateurs et de la protection des données des enjeux liés et complémentaires, nécessitant une coopération étroite entre les autorités concernées. C’est pourquoi la Commission nationale de l’informatique et libertés (CNIL), autorité chargée de veiller à la protection des données, et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), autorité chargée de la protection des consommateurs, ont signé un premier protocole de coopération en 2011, dans l’objectif d’une meilleure protection des consommateurs dans l’espace numérique.

Pour promouvoir cette coopération et l’adapter aux évolutions du cadre légal et de l’économie numérique, le protocole a été revu une première fois en 2019. Depuis, les deux autorités ont échangé plusieurs dizaines de signalements, luttant ainsi contre les pratiques commerciales abusives et non conformes à la protection des données, sur des sujets tels que la prospection liée à la rénovation ou la gestion des programmes de fidélité. Dans le but de renforcer davantage cette coopération entre les deux autorités, Marie-Laure Denis, présidente de la CNIL, et Sarah Lacoche, directrice générale de la DGCCRF, signent aujourd’hui un nouveau protocole, dont les objectifs sont détaillés ci-dessous.

Disponible sur: CNIL.fr

Retour en haut