Dernières actualités : données personnelles

DPA (autorité grecque)

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

L’autorité prononce une ordonnance de mise en conformité pour l’installation illégale d’un système de vidéosurveillance dans une maison

Dans un communiqué de la semaine dernière et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant l’installation d’un système de vidéosurveillance dans une maison en train de surveiller des espaces non privés. En l’occurrence, le plaignant faisait valoir que 2 des 8 caméras installées par ses voisins capturaient en continu des images de son balcon et de sa terrasse, ainsi que la voie publique. Le plaignant a exprimé son opposition au système de vidéosurveillance via un e-mail daté du 24 mars 2023, demandant des informations sur le dispositif ainsi que la restitution des enregistrements le concernant. Il a également accusé ses voisins d’avoir utilisé des captures vidéo et des photos le montrant dans des litiges judiciaires les opposant.

L’enquête menée par l’autorité grecque a confirmé les faits reprochés aux voisins, qui ont tenté de les justifier par les éléments suivants:
* L’installation est nécessaire du fait d’antécédents de cambriolage.
* Les intérêts du voisin priment sur les droits du plaignant.

Néanmoins, ces arguments n’ont pas convaincu l’autorité qui a jugé que les personnes concernées maintenaient le système de vidéosurveillance installé en violation des dispositions du RGPD et a ordonné l’arrêt de l’utilisation des caméras qui surveillent la voie publique et la maison du plaignant dans un délai de 15 jours. Elle a également demandé aux voisins de fournir la preuve de l’exécution de cette décision. Si les voisins souhaitent réactiver les caméras, ils doivent limiter la zone surveillée à ce qui est strictement nécessaire et obtenir une autorisation préalable en prouvant la légalité du système.
En revanche, pas d’amende pour cette fois !

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Amende de 2000 euros pour une coopérative agricole grecque en raison d’un système de vidéosurveillance non conforme

Ce vendredi 13 septembre, l’autorité de protection des données grecque a publié une décision de sanction à l’encontre de la coopérative agricole de l’huile d’olive de Stylida, pour avoir illégalement mis en œuvre un système de vidéosurveillance. Comme très souvent, une plainte est à l’origine de cette affaire, en l’occurrence du syndicat des employés de la coopérative, arguant notamment que « la caméra de la zone de production, que l’A.E.S.S. prétend virtuelle, fonctionne en fait normalement et enregistre les mouvements et les performances des travailleurs », mais aussi que d’autres lieux tels que les toilettes et les vestiaires sont également filmés.

La DPA ouvre l’enquête et rejette la plupart des motifs de plainte (faute de preuves) mais a tout de même relevé des lacunes de la part de l’AESA en ce qui concerne

  • La minimisation des données, le champ de certaines caméras étant plus large que ce qui est nécessaire ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adéquat contre les risques, conformément à l’article 32 du GDPR ;
  • L’information des employés, qui n’était pas écrite mais qui a uniquement été donnée oralement aux membres du « CESE » lorsque la décision d’installer les caméras a été prise.

En conséquence, l’autorité a infligé une amende administrative de 2 000 euros au responsable du traitement et a ordonné la réception des mesures techniques et organisationnelles requises.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-61/22

L’insertion obligatoire dans les cartes d’identité de deux empreintes digitales est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Dans un arrêt rendu ce 21 mars, la Cour de Justice de l’UE estime que « l’obligation d’insérer deux empreintes digitales complètes dans le support de stockage des cartes d’identité constitue une limitation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par la charte des droits fondamentaux de l’Union européenne. Toutefois, cette insertion est justifiée par les objectifs d’intérêt général de lutter contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi que d’assurer l’interopérabilité des systèmes de vérification » dans la mesure où elle est « apte et nécessaire à la réalisation de ces objectifs et n’est pas disproportionnée par rapport à ceux-ci ».

Autrement élément d’espèce intéressant: Le règlement en question a été adopté sur la mauvaise base juridique, a par conséquent déclaré invalide. Néanmoins, les juges ont estimé que « l’invalidation du règlement avec effet immédiat serait susceptible de produire des conséquences négatives graves pour un nombre important de citoyens de l’Union et pour leur sûreté dans l’espace de liberté, de sécurité et de justice. La Cour maintient, pour cette raison, les effets du règlement jusqu’à l’entrée en vigueur, dans un délai raisonnable et au plus tard le 31 décembre 2026, d’un nouveau règlement, fondé sur la bonne base juridique. »

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut