Dernières actualités : données personnelles

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL (via legifrance)

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

Datatilsynet (auorité danoise)

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Marché en ligne et exercice des droits des personnes : sanction de 2.3 millions d’euros à l’encontre de VINTED

Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276  millions d’euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme. VINTED propose une plateforme de marché en ligne communautaire qui permet à ses 50 millions d’utilisateurs actifs mensuels dans le monde de vendre, d’acheter et d’échanger des vêtements et accessoires d’occasion.

Dès 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. Cette thématique a  d’ailleurs fait l’objet d’un article de la CNIL en novembre 2021 qui a annoncé l’ouverture de contrôles. En application des procédures de coopération instaurées par le RGPD, c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie.

L’enquête menée a permis confirmer les faits reprochés à VINTED par les plaignants :
* L’entreprise n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. En particulier, la société ne justifiait pas les raisons de ses refus et refusait des requêtes  « au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD » ;
* L’entreprise n’a pas non plus été en capacité de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
* Enfin, l’entreprise a mis en œuvre le « bannissement furtif » ou « shadow banning » en anglais de manière illicite, notamment sans en informer les utilisateurs.

Le « shadow banning » est une méthode de bannissement très pratiquée par les éditeurs de jeux vidéos en ligne et consistant à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur ne respectant pas les règles de la plateforme sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Dans leurs communiqués, la CNIL et l’autorité lituanienne expriment des positions similaires sur cette pratique.
La CNIL explique ainsi que « bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

[Ajout contextuel Portail RGPD: Bien que les autorités ont été prudentes en ne prononçant pas une interdiction de principe de la pratique du « shadow banning » (qui aurait probablement été retoquée pour excès de pouvoir), il s’agit là d’une décision qui pourrait la remettre en cause de manière générale, dans la mesure où tout son intérêt porte sur le fait que l’utilisateur n’en est pas informé : en effet, son objectif n’est en réalité pas tant d’éviter la commission d’un comportement (ce qui peut effectivement être atteint par le blocage complet), mais plutôt d’éviter que l’utilisateur recrée un compte aussitôt après avoir été bloqué afin de poursuivre son comportement fautif. Dès lors, si une information générale a priori n’est pas considérée comme suffisante par les autorités (ce qui semble être le cas au regard des communiqués), la pratique perdrait une grande partie de son intérêt, ce qui risquerait de pousser les responsables de traitement à traiter beaucoup plus de données afin d’éviter la création de nouveaux comptes.]

Disponible sur: CNIL.fr. L’article de l’autorité lituanienne est également disponible (en anglais).

GPDP (autorité italienne)

 Reconnaissance faciale : l’autorité italienne sanctionne un concessionnaire qui l’utilisait pour du contrôle des temps de travail (120 000 euros d’amende)

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction d’un concessionnaire automobile (dont nous ne connaissons pas l’identité) pour avoir violé les données personnelles de ses employés en utilisant des systèmes de reconnaissance faciale pour contrôler les présences sur le lieu de travail. L’autorité est intervenue à la suite d’une plainte déposée par un employé dénonçant le traitement illicite de données à caractère personnel au moyen d’un système biométrique installé dans les deux unités de production de l’entreprise. La plainte dénonçait également l’utilisation d’un logiciel de gestion avec lequel chaque employé devait enregistrer les travaux de réparation effectués sur les véhicules qui lui étaient attribués, l’heure et la manière dont les travaux avaient été effectués, ainsi que les temps d’arrêt avec des raisons spécifiques.

L’enquête menée par l’autorité pour faire suite à cette plainte, réalisée en coopération avec d’autres autorités, ont révélé de nombreuses violations du règlement européen par la société. Dans sa newsletter, l’autorité met en particulier en lumière les deux éléments suivants :

* En ce qui concerne le traitement des données biométriques, l’autorité a réitéré une fois de plus que l’utilisation de ces données n’est pas autorisée parce qu’aucune disposition légale n’envisage actuellement l’utilisation de données biométriques pour l’enregistrement des présences. Par conséquent, l’Autorité a rappelé que même le consentement donné par les employés ne peut être considéré comme une condition préalable à la légalité, en raison de l’asymétrie entre les parties respectives à la relation de travail.

* Depuis plus de six ans, le concessionnaire utilisait un logiciel de gestion pour collecter des données personnelles sur les activités des employés afin d’établir des rapports mensuels à envoyer à la société mère, contenant des données agrégées sur le temps passé par les ateliers sur le travail effectué. Tout cela en l’absence d’une base juridique appropriée et d’une information adéquate qui, dans le cadre de la relation de travail, est l’expression du principe d’équité et de transparence. En conséquence, en plus de sanctionner la société, l’autorité lui a donc ordonné de mettre le traitement des données effectué par le biais du logiciel de gestion en conformité avec les dispositions de la réglementation relative à la protection des données personnelles.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-178/22

Le juge chargé d’autoriser l’accès à des relevés téléphoniques pour identifier les auteurs d’une infraction, pour la poursuite de laquelle la loi nationale prévoit un tel accès, doit être habilité à refuser ou à restreindre cet accès 

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE a jugé que selon la loi italienne, le délit de vol aggravé fait partie des infractions justifiant l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge. Elle estime que  l’ingérence dans ces droits fondamentaux causée par l’accès à des relevés téléphoniques est susceptible d’être qualifiée de grave et confirme qu’un tel accès ne peut être accordé qu’aux données de personnes soupçonnées d’être impliquées dans une infraction grave.

La Cour précise qu’il incombe aux États membres de définir les « infractions graves » aux fins de l’application de la directive en question. La législation pénale relève en effet de la compétence des États membres pour autant que l’Union n’ait pas légiféré en la matière. Elle précise également que les États membres ne sauraient dénaturer cette notion et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales de l’État membre concerné, alors même que le législateur de cet État membre a prévu de les punir d’une peine de réclusion maximale d’au moins trois ans.

Enfin, la Cour estime qu’afin, notamment, de vérifier l’absence d’une dénaturation de la notion de « criminalité grave », il est néanmoins essentiel que, lorsque l’accès aux données conservées comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée, cet accès soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Ainsi, le juge chargé d’autoriser cet accès doit être habilité à refuser ou à restreindre ledit accès lorsqu’il constate que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ledit accès est grave alors qu’il est manifeste que l’infraction en cause n’est pas grave au regard des conditions sociétales prévalant dans l’État membre concerné.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut