Dernières actualités : données personnelles

530 millions d’euros d’maende pour TikTok en raison de transferts vers la Chine illlicites

La Commission irlandaise de protection des données a annoncé aujourd’hui sa décision finale suite à une enquête concernant TikTok Technology Limited (« TikTok »). Cette enquête a été lancée par la DPC, dans son rôle d’autorité de supervision principale pour TikTok, afin d’examiner la légalité des transferts de données personnelles des utilisateurs de la plateforme TikTok dans l’EEE vers la République populaire de Chine (« Chine »). De plus, l’enquête a examiné si la communication d’informations aux utilisateurs concernant ces transferts respectait les exigences de transparence de TikTok imposées par le RGPD.

La décision, prise par les Commissaires à la protection des données, Dr Des Hogan et M. Dale Sunderland, et notifiée à TikTok, constate que TikTok a enfreint le RGPD concernant ses transferts de données d’utilisateurs de l’EEE vers la Chine et ses exigences de transparence. La décision comprend des amendes administratives totalisant 530 millions d’euros et une ordonnance exigeant que TikTok mette ses traitements en conformité dans un délai de 6 mois. La décision inclut également une ordonnance suspendant les transferts de TikTok vers la Chine si les traitements ne sont pas mis en conformité dans ce délai.

Le Commissaire adjoint de la DPC, Graham Doyle, a commenté :
« Le RGPD exige que le haut niveau de protection offert au sein de l’Union européenne se maintienne lorsque des données personnelles sont transférées vers d’autres pays. Les transferts de données personnelles de TikTok vers la Chine enfreignaient le RGPD car TikTok n’a pas réussi à vérifier, garantir et démontrer que les données personnelles des utilisateurs de l’EEE, accessibles à distance par le personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE. En raison de l’incapacité de TikTok à réaliser les évaluations nécessaires, TikTok n’a pas abordé l’accès potentiel par les autorités chinoises aux données personnelles de l’EEE en vertu des lois chinoises sur l’antiterrorisme, le contre-espionnage et d’autres lois identifiées par TikTok comme divergeant matériellement des normes de l’UE. »

La DPC a soumis un projet de décision au mécanisme de coopération du RGPD le 21 février 2025, comme l’exige l’article 60 du RGPD. Aucune objection au projet de décision de la DPC n’a été soulevée. La DPC remercie la coopération et l’assistance de ses autorités de protection des données homologues de l’UE/EEE dans cette affaire.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité Irlandaise enquête sur Grok, l’intelligence artificielle d’Elon Musk

La Commission de protection des données (DPC) a annoncé aujourd’hui le lancement d’une enquête sur le traitement des données personnelles contenues dans des publications accessibles au public sur la plateforme de médias sociaux ‘X’ par des utilisateurs de l’UE/EEE, dans le but de former des modèles d’intelligence artificielle générative, en particulier les modèles de langage Grok (LLMs). L’enquête examinera la conformité avec un ensemble de dispositions clés du RGPD, y compris en ce qui concerne la légalité et la transparence du traitement.

Grok est le nom d’un groupe de modèles d’IA développés par xAI. Ces modèles de langage de grande taille sont utilisés, entre autres, pour alimenter un outil de requête d’IA générative / Chatbot, qui est disponible sur la plateforme X. Comme d’autres LLM modernes, les LLM Grok ont été développés et formés sur une large variété de données. Cette enquête considère un ensemble de questions concernant l’utilisation d’un sous-ensemble de ces données qui était contrôlé par XIUC – à savoir les données personnelles contenues dans des publications accessibles au public sur la plateforme de médias sociaux ‘X’ par des utilisateurs de l’UE/EEE. L’objectif de cette enquête est de déterminer si ces données personnelles ont été traitées légalement pour former les LLM Grok.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission irlandaise de protection des données inflige une amende de 251 millions d’euros à Meta

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited. Ces enquêtes ont été lancées par la DPC à la suite d’une violation de données personnelles, qui a été signalée par Meta en septembre 2018 et qui a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE/EEE. Les catégories de données à caractère personnel concernées comprenaient : le nom complet de l’utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa ligne de temps, les groupes dont l’utilisateur était membre et les données personnelles de ses enfants.
La violation résulte de l’exploitation par des tiers non autorisés de jetons d’utilisateur sur la plateforme Facebook. Meta a remédié à la violation peu de temps après sa découverte.

L’enquête menée par l’autorité a permis de constater que:
* Meta n’a pas inclus pas dans sa notification de violation toutes les informations requises par cette disposition qu’elle aurait pu et dû inclure. L’entreprise a également omis de documenter les faits relatifs à chaque violation et les mesures prises pour y remédier, ce qui a entravé l’enquête. En résulte des manquements à l’article 33 du RGPD.
* Meta n’a pas veillé à ce que les principes de protection des données soient respectés lors de la conception des systèmes de traitement. Meta n’a notamment pas veillé à ce que par défaut, seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées (manquements à l‘article 25 du RGPD).

« Cette mesure d’exécution montre que le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves, y compris un risque pour les libertés et les droits fondamentaux des personnes. Les profils Facebook peuvent contenir, et contiennent souvent, des informations sur des sujets tels que les croyances religieuses ou politiques, la vie ou l’orientation sexuelle, et d’autres sujets similaires qu’un utilisateur ne peut souhaiter divulguer que dans des circonstances particulières. En permettant l’exposition non autorisée d’informations de profil, les vulnérabilités à l’origine de cette violation ont entraîné un risque grave d’utilisation abusive de ces types de données ».

En conséquence, Meta a reçu un certain nombre de blâmes et une injonction de payer des amendes administratives d’un montant total de 251 millions d’euros. L’autorité a soumis un projet de décision au mécanisme de coopération en septembre 2024, conformément à l’article 60 du RGPD : aucune objection n’a été soulevée à l’encontre du projet de décision. La DPC publiera le texte intégral de la décision et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

• Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
• Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
• Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
• Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.