Dernières actualités : données personnelles

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Amende de 600 000 euros pour des cookies de suivi non conformes sur le site internet Kruidvat

L’Autorité des données personnelles (AP) a imposé une amende de 600 000 euros à la société derrière la droguerie Kruidvat pour avoir suivi les visiteurs de leur site internet avec des cookies de suivi à leur insu et sans leur consentement. La société à l’origine de Kruidvat, AS Watson (Health & Beauty Continental Europe), a en outre collecté ces données auprès des visiteurs du site web afin de créer des profils personnels de ces personnes.
Effectivement, outre les données de localisation des visiteurs (tracée via l’adresse IP du visiteur unique), ces données comprenaient les pages qu’ils avaient visitées, les produits qu’ils avaient ajoutés à leur panier et achetés, ainsi que les recommandations sur lesquelles ils avaient cliqué. L’autorité précise qu’ il s’agit d’informations très sensibles, en raison de la nature spécifique des produits de droguerie: il peut en effet s’agir de tests de grossesse, de contraceptifs ou de médicaments pour toutes sortes d’affections. La société a en conséquence été condamnée à payer une amende de 600 000 euros.

Aleid Wolfsen, président de l’AP estime que  « les cookies de suivi ou les logiciels de suivi permettent aux organisations de surveiller votre comportement sur Internet. Cela n’est pas permis sans autorisation et sans que vos clients en soient informés. En effet, ce que vous faites sur l’internet est très personnel. Une organisation n’est autorisée à le suivre que si vous y consentez explicitement. Et vous devez être en mesure de refuser ce logiciel de suivi, sans que cela ne vous porte préjudice. »

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, le scraping est presque toujours illégal

Le scraping est la collecte et le stockage automatiques d’informations sur l’internet. Le scraping par des parties privées et des individus n’est presque jamais autorisé : c’est en tout cas ce qu’affirme l’Autorité des données personnelles (AP) dans un nouveau guide. Celui-ci précise notamment un certain nombre de cas dans lequel le scraping est en toute hypothèse illégal. Par exemple :
* la recherche sur internet pour créer des profils de personnes en vue de les revendre ;
* la récupération d’informations à partir de comptes de médias sociaux protégés ou de forums fermés ;
* la récupération de données à partir de profils de médias sociaux publics, dans le but de déterminer si les personnes concernées bénéficient ou non de l’assurance demandée.

« Un malentendu très répandu veut que le scraping soit autorisé parce que tout ce qui se trouve sur l’internet est de toute façon accessible à tout le monde », a déclaré le président de l’AP, Aleid Wolfsen. « Mais le fait que des informations vous concernant soient publiques ne signifie pas automatiquement que vous autorisez le scraping. Même si vous indiquez sur votre compte de médias sociaux que vous avez récemment gagné à la loterie ou que vous avez subi une opération, vous ne donnez pas l’autorisation de récupérer ces données. L’autorisation de collecter des données à caractère personnel n’est donnée que si elle a été dûment demandée au préalable. Il est généralement impossible de le faire avec le scraping »,

Les conseils se trouvant dans l’article ci-dessous de l’AP ne s’adressent pas au gouvernement, mais l’AP précise que le scraping gouvernemental présente également des risques importants pour la vie privée et est soumis à des règles strictes. L’AP travaille également à l’élaboration d’une note d’orientation sur le scraping gouvernemental. En tout état de cause, les exceptions à cette règle sont très peu nombreuses : l’AP évoque le cas de l’intérêt légitime qui est fondé sur une norme juridique et qui ne doit pas être uniquement le profit (à condition que celui-ci soit réalisé de manière très ciblé), ou encore le cas del’usage domestique.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-741/21

Dans un arrêt C-741/21 du 11 avril 2024, la Cour de Justice de l’UE continue de bâtir le régime de responsabilité lié à la protection des données personnelles.

Dans ce nouvel arrêt, elle a estimé que:
* une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne (solution déjà dégagée par l’arrêt C-300/21, et notamment confirmée par l’arrêt C-687/21) ;
* il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 de l’article 82, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité;
* pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.

Disponible sur: curia.europa.eu.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-768/21

Selon l’avocat général Pikamäe, l’autorité de contrôle est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.

Dans l’affaire dont il est question, le commissaire à la protection des données a constaté une violation de la protection des données prévue par le règlement général sur la protection des données (RGPD), mais a conclu qu’il n’y avait pas lieu d’intervenir à l’encontre de la Caisse d’épargne, qui avait déjà pris des mesures disciplinaires à l’encontre de l’employée concernée. L’avocat général Priit Pikamäe estime, au contraire, que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.

À cet égard, le RGPD exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises 2 et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise. Toujours selon l’avocat général, ces principes s’appliqueraient également au régime des amendes administratives.

Disponible (en anglais) sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut