Dernières actualités : données personnelles

NOYB – None of your business

1 juillet 2024

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

Commission de protection de la vie privée

20 juin 2024

Les amendes de l’autorité norvégienne prononcées contre Meta et Facebook ont été annulées

Dans une décision du 18 juin 2024, faisant suite à une décision de sanction prononcée par l’autorité de protection des données norvégienne qui a été contestée par la société par Facebook Norvège, la Commission de la protection des données a conclu « que la décision d’amende coercitive à l’encontre de Meta Ireland et de Facebook Norway doit être annulée car elle ne repose sur aucune base juridique« .

En cause ? Une erreur procédurale. Selon la décision, cette affaire soulève un certain nombre de questions procédurales fondamentales liées aux recours de droit administratif contre de telles décisions. La Commission se contente ici de faire référence au désaccord entre l’autorité norvégienne de protection des données, Meta Ireland et Facebook Norway quant aux limitations applicables au traitement par la Commission du recours contre la décision relative à une amende coercitive. De l’avis de la Commission, rien dans les travaux préparatoires de la loi sur les données personnelles n’indique que le ministère avait également l’intention d’introduire la possibilité pour l’autorité de contrôle d’imposer une amende coercitive pour les décisions urgentes au titre du chapitre VII. Si l’intention était que l’article 29 de la loi sur les données à caractère personnel fournisse une telle base juridique, on peut raisonnablement s’attendre à ce que le ministère ait procédé à des évaluations et à des clarifications approfondies de la question de la compétence de la Commission dans de tels cas dans les travaux préparatoires de la loi sur les données à caractère personnel. Le principe de légalité impose également que des dispositions procédurales soient incluses dans la loi pour réglementer les dérogations aux règles générales sur les recours et les annulations du chapitre VI de la loi sur l’administration publique et la disposition spéciale de l’article 51, cinquième paragraphe, sur les recours contre les décisions d’exécution. De l’avis de la Commission, il s’agit de questions qui ne se prêtent pas à une clarification par la pratique des organes administratifs.

La Commission de la protection des données a ainsi conclu que l’article 29 de la loi sur les données personnelles doit être interprété de manière restrictive, de sorte que la disposition n’autorise pas l’autorité norvégienne de protection des données, en tant qu’autorité de contrôle concernée, à adopter une décision sur une amende coercitive pour assurer le respect d’une décision urgente prise en vertu de l’article 66, paragraphe 1 (à savoir la procédure d’urgence). La disposition n’autorise l’adoption d’une décision sur une amende coercitive que pour assurer le respect d’ordonnances dans des affaires non transfrontalières.

Disponible (en norvégien) sur: personvernnemnda.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

13 juin 2024

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.