Dernières actualités : données personnelles

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Communication politique et réutilisation de fichiers: l’autorité hellénique condamne le Ministère de l’Intérieur à une amende de 400 000 euros et une députée européenne à une amende de 40 000 euros 

Dans un communiqué de presse, l’autorité de protection des données a annoncé avoir reçu un grand nombre de plaintes concernant une communication politique non sollicitée envoyée par e-mail le 1/3/2024, intitulée « 100 jours avant les élections européennes », par la députée européenne Anna Michelle Asimakopoulou. Après une série d’inspections sur place et la collecte de preuves et de données dans le cadre d’un audit, il a été constaté qu’un fichier contenant des données à caractère personnel de tous les électeurs d’outre-mer inscrits pour les élections créé le 8 juin 2023 pour un usage interne au sein du ministère de l’intérieur dans le cadre d’un objectif lié au processus électoral a fuité entre le 8 et le 23 juin 2023, car il a été prouvé que le 23 juin 2023, le fichier a été transmis au secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, par un expéditeur dont l’identité et le statut n’ont pas été déterminés à ce jour, afin, selon ses dires, de l’utiliser pour l’analyse des résultats de l’élection. Il a ensuite été transmis à Mme Asimakopoulou qui s’en est servi pour envoyer un courrier électronique à tous les électeurs qu’il contenait. Le courrier électronique de Mme Asimakopoulou ne contenait pas les informations requises par l’article 14 du GDPR pour informer ses destinataires, notamment sur la source de leurs données personnelles.

Dans cette affaire, l’autorité reproche :

1 – Au ministère de l’intérieur,  la fuite d’un fichier destiné exclusivement à un usage interne, des lacunes dans les procédures et les politiques de protection des données en place, des lacunes dans l’enquête sur l’incident ainsi que des communications non fondées sur les circonstances de l’incident, et un fichier qui n’est pas tenu à jour. En conséquence, l’autorité a imposé une amende administrative d’un montant total de 400 000 EUR au ministère de l’intérieur.

2- A la députée européenne Anna Michelle Asimakopoulou, d’avoir collecté des données à caractère personnel des électeurs expatriés, y compris les coordonnées électroniques et de les avoir utilisées pour l’envoi d’un message de communication politique, ce qui est contraire au principe fondamental de légalité et de la transparence. En conséquence, elle a été condamnée à une amende de 40 000 EUR.

S’agissant du secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, celui-ci n’a pas encore été condamné mais l’autorité précise avoir reporté sa décision  « étant donné que ce dernier, après l’audience et la présentation des mémoires, a soumis une déclaration sous serment sur la manière dont il a reçu les listes électorales, en tant que nouvel élément critique, dont le contenu montre la nécessité d’enquêter plus avant sur les allégations qui y sont formulées. »

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.