Dernières actualités : données personnelles

ACCP (autorité chypriote)

La Commission chypriote à la protection des données donne son feu vert à l’installation de systèmes de vidéosurveillance dans les écoles, en dehors des heures de cours.

D’après le communiqué de presse, « le ministère de l’éducation et de la jeunesse a réalisé une étude d’impact sur le fonctionnement d’un système de vidéosurveillance en circuit fermé (CCTV) dans les écoles pour la prévention et le traitement de la violence et de la délinquance, qu’il a soumise à la commission à des fins de consultation. À la lumière de ce qui a été présenté et suite à la confirmation hier de l’adoption des derniers commentaires et suggestions de l’autorité, celle-ci a constaté que l’analyse d’impact répond aux exigences de l’article 35 du GDPR et a approuvé l’installation de CCTV dans les écoles. Par conséquent, l’ACCP, en tant que responsable du traitement, est en mesure de lancer les activités et opérations de traitement pertinentes qui ont fait l’objet de l’analyse d’impact présentée.
Dans un premier temps, le fonctionnement du CBC sera lancé à titre pilote dans 10 unités scolaires. »

La commission en a également dévoilé un peu plus sur le contenu de cette AIPD, ainsi que sur le traitement:
« α. Des caméras vidéo seront installées aux entrées/sorties principales des unités scolaires, ainsi qu’à leurs abords.
β. La portée de l’enregistrement sera limitée aux limites des unités scolaires et aucune zone privée ou publique adjacente ne sera enregistrée.
c. La vidéosurveillance sera activée en dehors des heures de cours.
δ. Le matériel visualisé sera stocké pendant une période de 72 heures.
ε. Accès strictement limité au matériel audiovisuel.
f. Des panneaux d’avertissement seront installés pour information. »

Disponible (en grec) sur: dataprotection.gov.cy
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’autorité anglaise sollicite des avis sur la précision des modèles génératifs d’IA afin de mettre à jour ses guides

L’Information Commissioner’s Office (ICO) a lancé le dernier volet de sa série de consultations sur la manière dont la loi sur la protection des données s’applique au développement et à l’utilisation de l’IA générative. La troisième consultation de la série porte sur la manière dont le principe d’exactitude de la protection des données s’applique aux résultats des modèles d’IA générative et sur l’impact que des données d’entraînement exactes ont sur les résultats. En effet, lorsque des personnes s’appuient à tort sur des modèles d’IA générative pour fournir des informations factuelles exactes sur des personnes, il peut en résulter des informations erronées, des atteintes à la réputation et d’autres préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Homo Digitalis

L’autorité grecque de protection des données inflige au ministère des migrations et de l’asile l’amende la plus importante jamais imposée à un organisme public grec pour les inconformités de ses systèmes « Centaurus » et « Hyperion ».

Dans son article, l’association militante explique qu’ il y a deux ans, Homo Digitalis avait déposé une plainte contre le ministère de l’Immigration et de l’Asile pour les systèmes « Centaurus » et « Hyperion » déployés dans les structures d’accueil et d’hébergement des demandeurs d’asile, en coopération avec les organisations de la société civile Hellenic League for Human Rights et HIAS Greece, ainsi que l’universitaire Niovi Vavoula. Le système « Centaurus » est un système numérique de gestion de la sécurité électronique et physique autour et à l’intérieur des installations, utilisant des caméras et des algorithmes d’analyse comportementale de l’intelligence artificielle, tandis que le système « Hyperion » est le principal outil de contrôle de l’accès (entrée et sortie) à ces installations à l’aide de données biométriques.

Aujourd’hui, l’association annonce que l’Autorité hellénique de protection des données a identifié d’importantes violations du GDPR dans cette affaire par le ministère de l’Immigration et de l’Asile, parmi lesquelles l’absence d’AIPD, la quasi-impossibilité pour les personnes concernées d’exercer leurs droits. En conséquence, l’autorité a décidé d’imposer une amende de 175 000 euros – décrite comme la plus élevée jamais imposée à un organisme public dans le pays – et a par ailleurs 3 mois pour se mettre en conformité avec la réglementation.

[Ajout contextuel Portail RGPD: Cette sanction met en valeur les différences entre le régime juridique grec et le régime français : en France, les sanctions pécuniaires sont en effet expressément écartées par l’article 20 de la Loi Informatique et Libertés s’agissant des traitements mis en œuvre par l’Etat.]

Disponible (en anglais) sur: homodigitalis.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Le 31 janvier 2024, à la suite d’une enquête concernant une plainte reçue contre Airbnb Ireland UC (Airbnb), la Commission de la protection des données irlandaise (la CPD ou DPC en anglais) a adopté une décision qu’elle vient de publier sur son site.

La DPC avait ouvert cette enquête le 8 décembre 2022, à la suite d’une plainte selon laquelle Airbnb avait illégalement demandé une copie de la pièce d’identité du plaignant afin de vérifier son identité et d’effectuer une demande d’effacement lorsqu’il avait décidé de mettre fin à la procédure de création de compte. A la suite de cette enquête, qui a notamment pris du temps au regard du caractère transfrontalier du traitement (ce qui entraine l’activation de mécanismes de coopération entre autorités), la DPC a estimé qu’Airbnb n’avait pas valablement fondé le traitement des données d’identification du plaignant. En outre, la DPC a estimé que dans la situation particulière qui s’est présentée dans le cas de ce plaignant, l’exigence d’Airbnb que le plaignant vérifie son identité en soumettant une copie de sa pièce d’identité afin de faire une demande d’effacement constituait une violation du principe de minimisation des données, conformément à l’article 5, paragraphe 1, point c), du GDPR.

[Ajout contextuel Portail RGPD: La DPC a, dans cette affaire, été clémente, puisqu’Airbnb n’a écopé que d’une simple réprimande, justifiée par le fait qu’il a rapidement été mis fin à cette pratique. Il est notable qu’il s’agit de la 7è décision en la matière à l’encontre d’Airbnb publiée sur le site de la DPC, montrant que cette pratique a été mise en œuvre (au moins) entre Mars 2021 et Décembre 2022, dates entre lesquelles les plaintes ont été transmises à la DPC – alors mêmes que la  V1 des lignes directrices sur le droit d’accès du CEPD écartaient la pratique dès janvier 2022 dans une version certes non définitive ouverte à consultation publique, notamment en ce qu’elle ne permettait pas un niveau d’authentification satisfaisant dans un contexte numérique (cf. points 73 et suivants).]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-61/22

L’insertion obligatoire dans les cartes d’identité de deux empreintes digitales est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Dans un arrêt rendu ce 21 mars, la Cour de Justice de l’UE estime que « l’obligation d’insérer deux empreintes digitales complètes dans le support de stockage des cartes d’identité constitue une limitation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par la charte des droits fondamentaux de l’Union européenne. Toutefois, cette insertion est justifiée par les objectifs d’intérêt général de lutter contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi que d’assurer l’interopérabilité des systèmes de vérification » dans la mesure où elle est « apte et nécessaire à la réalisation de ces objectifs et n’est pas disproportionnée par rapport à ceux-ci ».

Autrement élément d’espèce intéressant: Le règlement en question a été adopté sur la mauvaise base juridique, a par conséquent déclaré invalide. Néanmoins, les juges ont estimé que « l’invalidation du règlement avec effet immédiat serait susceptible de produire des conséquences négatives graves pour un nombre important de citoyens de l’Union et pour leur sûreté dans l’espace de liberté, de sécurité et de justice. La Cour maintient, pour cette raison, les effets du règlement jusqu’à l’entrée en vigueur, dans un délai raisonnable et au plus tard le 31 décembre 2026, d’un nouveau règlement, fondé sur la bonne base juridique. »

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut