Dernières actualités : données personnelles

UODO (autorité polonaise)

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Italie : Plus de 6 millions d’euros d’amendes à payer par le fournisseur d’énergie Eni Plenitude pour des pratiques de prospection non conformes

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction du fournisseur d’énergie Eni Plenitude, qui a été condamné à une amende de près de 6,5 millions d’euros le 6 juin 2024.  Selon elle, cette mesure fait suite à 108 signalements et 7 plaintes contre la société, de personnes qui se plaignaient de recevoir des appels téléphoniques non désirés. Au cours de l’enquête ouverte en réponse à ces signalements et plaintes, l’autorité indique avoir demandé à Eni Plenitude les données relatives aux propositions d’achat faites par le réseau de vente et conclues avec l’activation de services énergétiques, concernant une « semaine échantillon ». Résultat: sur 747 contrats conclus dans la période identifiée, 657 provenaient d’un contact illégitime. Des chiffres qui, s’ils étaient hypothétiquement projetés sur une année, conduiraient à 32 850 fournitures activées de manière illicite. Ces chiffres expliquet aisément pourquoi ces pratiques continuent quand bien même elles sont constamment dénoncées et régulièrement sanctionnées.

Toujours selon l’autorité, les lacunes concernant le contrôle et la surveillance des agences et sous-agences et le mélange des bases de données sont particulièrement graves. Selon la Garante, pour se conformer à la règle, il ne suffit pas de supprimer l’agent individuel ou d’effectuer des audits en cas d’anomalies, mais des mesures sont nécessaires pour empêcher que des contrats conclus sur la base de contacts téléphoniques illicites ou pour tirer un avantage économique d’un comportement illicite ne pénètrent dans les systèmes de l’entreprise.

Outre le paiement de la sanction, fait suffisamment rare pour le mettre en valeur, la Garante a imposé à Eni Plenitude l’interdiction de tout traitement ultérieur des données des plaignants et des dénonciateurs. L’entreprise devra également informer les 657 personnes contactées illégalement de l’issue de la procédure sur la base d’un texte à convenir avec l’Autorité, mettre en place des contrôles pour s’assurer que les contrats générés par les contacts illégaux n’entrent pas dans les actifs de l’entreprise, et garantir le respect des principes du traitement des données, avec une référence particulière aux obligations de mise à jour, d’effacement et de rectification des données personnelles relatives aux clients.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut