Dernières actualités : données personnelles

NOYB – None of your business

Modèle du « Pay or Okay » : NOYB poursuit le DPA de Hambourg

À la suite d’une plainte déposée par le noyb, l’autorité de protection des données de Hambourg (Allemagne) a déclaré que l’utilisation des systèmes controversés « Pay or Okay » était autorisée. Toutefois, la procédure soulève des questions considérables : Bien que l’autorité ait été en dialogue actif avec le magazine d’information DER SPIEGEL, elle n’a pas entendu la personne concernée une seule fois au cours de la procédure. De nombreux faits pertinents n’ont jamais été examinés. Dans une affaire parallèle, l’autorité aurait même activement motivé une entreprise à réclamer de l’argent pour avoir dit « non » à la bannière de cookies. La personne concernée a donc intenté une action en justice contre l’autorité de protection des données auprès du tribunal administratif de Hambourg.

Disponible sur: noyb.eu

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

CNIL

Affaires publiques et lobbying : les professionnels du secteur publient un guide RGPD en concertation avec la CNIL

Afin d’aider les professionnels du secteur à se mettre en conformité avec le RGPD, plusieurs associations représentatives des professionnels des affaires et des relations publiques ont élaboré ensemble un guide, rédigé en concertation avec la CNIL.
Selon l’article, ce guide poursuit principalement deux objectifs :
* apporter de la sécurité juridique aux professionnels des affaires publiques dans leurs activités quotidiennes ;
* permettre à ces professionnels de mener des actions concrètes pour assurer la protection des données personnelles qu’ils utilisent.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

CNIL (via Legifrance)

La CNIL sanctionne la société Foriou pour des faits de démarchage commercial en l’absence de base légale

Par une décision n°SAN-2024-003 du 31 janvier 2024, la formation restreinte de la CNIL a condamné la société de gestion de programmes et de cartes de fidélité Foriou à une amende de 310 000€ pour défaut de base légale concernant le traitement de données réalisés avec des données acquises auprès de tiers. Il y a toutefois plusieurs points intéressants :
* Ce défaut de base légale reproché à la société Foriou est en partie la conséquence de manquements de la société auprès de laquelle elle se fournissait en données : la collecte initiale ne permettait pas la réutilisation des données par la société Foriou à des fins de prospection commerciale, les fournisseurs n’ayant pas respecté leurs engagements contractuels. Ainsi, seul le consentement obtenu par la société Foriou était en capacité de « sauver » le traitement (et n’a pas été demandé en l’espèce).
* La société Foriou n’ayant « pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder [à des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données,] les deux bases légales susceptibles d’être applicables en l’espèce ont été examinées successivement par la Commission. » Il est ainsi notable que la CNIL n’a pas décidé de sanctionner l’incapacité de la société à justifier de la base légale fondant le traitement, mais la véritable absence de base légale pour le traitement de prospection commerciale. 

Dans cette affaire, les deux bases légales  examinées sont l’intérêt légitime ainsi que le consentement.

S’agissant de l’intérêt légitime : Pour déterminer si cette base légale est valablement utilisable par la société FORIOU, la Commission observe les pratiques réalisées par les fournisseurs des données. En l’espèce,  « la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société. » Aussi,  » s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU. » Enfin, « concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste. »
En conséquence, la formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.

S’agissant du consentement :  Une fois encore, la Commission observe les pratiques réalisées par les fournisseurs des données. Par exemple: « il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. « 

Le fait que le destinataire de données soit tenu responsable de manquements directement imputables au primo-collectant est, à notre connaissance, une première en France. C’est néanmoins une solution logique dès lors que les données sont collectées par un tiers qui est en charge de fonder légalement le traitement ultérieur de prospection commerciale. Lorsqu’une société de prospection compte s’appuyer sur la base légale de la collecte initiale, s’il est non seulement nécessaire qu’elle encadre contractuellement les relations avec son fournisseur de manière convenable, il est également important qu’elle contrôle le régulièrement pour vérifier ses pratiques.

Disponible sur: legifrance.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut