Dernières actualités : données personnelles

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

APD (autorité belge)

 100 000 euros d’amende pour l’opérateur ayant mis 14 mois à répondre à une demande d’exercice des droits

Dans une décision publiée le 23 aout 2024, l’autorité de protection des données belge a prononcé une amende de 100 000 euros à l’encontre d’un opérateur de télécommunications belge (dont le nom n’est pas publié) pour ne pas avoir répondu à une demande d’exercice des droits dans les temps, ou, plutôt, pour n’avoir obtenu une réponse qu’après que 14 mois se soient écoulés.

Il s’agissait au départ d’une demande d’information : n’ayant pas trouvé l’adresse du DPO concerné, celle-ci a adressé une demande en ce sens dans le chat Facebook Messenger de l’opérateur, mais l’employé de l’opérateur n’a pas su lui fournir ladite adresse.  L’employé s’étant tout de même proposé pour traiter la demande, le particulier a poursuivi sa démarche et a exercé son droit d’accès en demandant qui, parmi les employés de l’opérateur a accédé à ses données personnelles.  L’employé a répondu ne pas avoir la possibilité de le savoir, et que la demande se situe « au-delà de [son] champs d’intervention ».

Finalement, en l’absence de réponse et après les délais écoulés, le particulier a déposé une plainte auprès de l’APD qui l’a estimée recevable. Une enquête a été ouverte, à la suite de laquelle l’autorité a conclu « que la défenderesse n’a pas facilité l’exercice des droits de la personne concernée conformément à l’article 12.2 du RGPD en ce que bien qu’il existait un canal de communication électronique, elle n’a pas été en mesure de répondre à la demande du plaignant ou à la rediriger auprès – à titre d’exemple – de son DPO telle qu’elle aurait dû le faire afin de garantir toute l’effectivité de l’article 12.2 du RGPD et donc, de l’article 15 du RGPD exercé par le plaignant« .
Quand bien même la personne a reçu une réponse au cours de la procédure lancée par l’APD, l’autorité « relève que la violation des articles 12.3 et 15 du RGPD est indéniable, en ce que la défenderesse ne conteste pas avoir répondu à la demande d’accès du plaignant avec 14 mois de retard. En ayant répondu à la demande d’accès du plaignant bien au-delà du délai fixé par l’article 12.3 du RGPD, la défenderesse s’est rendue coupable d’une violation continue du droit d’accès du plaignant 14 mois durant. »

Conséquence pour la société ? Une amende de 100 000 euros.

Petit bonus : dans sa décision, l’APD précise que « concernant le canal de communication utilisé lors des échanges entre le plaignant et la défenderesse entre le 25 janvier 2022 et le 13 mars 2022, la Chambre Contentieuse tient à rappeler à titre strictement informatif et sans que cela ne puisse constituer une quelconque prise de position de sa part qui pourrait aboutir à une sanction que la défenderesse doit, en plus de garantir que les réponses accordées aux plaignants via le chat Facebook soient d’une qualité suffisante, s’assurer que ce canal de communication réponde aux exigences de sécurité appropriées telles que définies aux articles 5.1.f), 24, 25 et 32 du RGPD. »

Disponible (en anglais) sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ».  Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité  « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD a ordonné à Meta de cesser la mise en œuvre les fonctionnalités électorales qu’elle prévoit de lancer en Espagne

Ce jour, l’Agence espagnole de protection des données (AEPD) a ordonné  à Meta Platforms Ireland Limited de suspendre, immédiatement et en vue des prochaines élections du Parlement européen, le lancement sur le territoire espagnol des fonctionnalités Election Day Information (EDI) et Voter Information Unit (VIU), ainsi que la collecte et le traitement des données liées à leur utilisation. Ces fonctionnalités devraient être lancées pour tous les utilisateurs de ses services habilités à voter aux élections européennes, à l’exception de l’Italie, dont l’autorité de protection des données mène déjà une procédure en cours à ce sujet.

Sur le fond, l’AEPD justifie cette mesure par le fait que que le traitement des données envisagé par l’entreprise est contraire au règlement général sur la protection des données (RGPD), qui, à tout le moins, violerait les principes de protection des données que sont la licéité, la minimisation des données et la limitation de la durée de conservation. En effet, à travers ces deux fonctionnalités, qui consistent à fournir des informations aux utilisateurs de Facebook et d’Instagram sur les élections européennes, Meta entend traiter des données à caractère personnel telles que, entre autres, le nom, l’adresse IP, l’âge et le sexe de l’utilisateur ou des informations sur la manière dont il interagit avec ces fonctionnalités. Or, l’autorité considère que la collecte et la conservation des données prévues par l’entreprise mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations qu’elle collecte à leur sujet, ce qui permettrait un profilage plus complexe, détaillé et exhaustif, et générerait un traitement plus intrusif.

Sur la compétence de l’AEPD, si celle-ci n’est pas – en principe – l’autorité compétente en ce que Meta a son siège européen en Irlande, c’est sans compter sur l’article 66.1 du RGPD prévoyant que « dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée – dans ce cas l’AEPD – considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes, elle peut adopter des mesures provisoires produisant des effets juridiques sur son territoire et dont la durée de validité ne peut excéder trois mois. » En l’occurrence, l’AEPD estime que qu’il est urgent, dans le contexte des élections, d’empêcher  « la collecte de données, le profilage des utilisateurs et le transfert à des tiers, évitant que les données soient utilisées par des inconnus et à des fins non explicites ».

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’une des premières sanctions en lien avec les Paywalls revient au site internet Motorsport, condamné à 5000 euros d’amende

Le 14 mai 2024, en conséquence de « lacunes dans la politique de cookies du site, à savoir l’utilisation de cookies non techniques sans le consentement de l’utilisateur, l’impossibilité de les refuser ou de les gérer de manière granulaire et l’impossibilité de retirer le consentement une fois qu’il a été donné « , l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et une sanction de 5000 euros a été prononcée. Selon la LSSI telle que citée par l’AEPD, l’amende maximale encourue par la société pour cette infraction était de 30 000 euros.

Faisant suite à une plainte du 22 mai 2023 au motif que la société éditant le site utilisait une forme illégale de consentement aux cookies sur son site web en vous obligeant à accepter les cookies pour accéder gratuitement au contenu ou à vous abonner moyennant paiement si vous ne souhaitez pas que des cookies soient installés, les enquêteurs de l’AEPD ont découvert que :  « Si vous souhaitez refuser tous les cookies […], vous constaterez que le site web continue à utiliser les cookies détectés au début de la navigation. Aussi, une fois que vous avez confirmé vos préférences (sans avoir donné votre consentement à l’utilisation de cookies), le site web affiche une nouvelle bannière d’information indiquant qu’il n’y a que deux possibilités pour continuer à naviguer sur le site web : soit vous acceptez tous les cookies au préalable, soit vous devez devenir membre moyennant une cotisation mensuelle (où il est assuré, selon les informations fournies dans la bannière, qu’aucun cookie ne sera installé).
En outre, en cas de tentative de retrait du consentement, le site web réaffichait la bannière d’information dans laquelle il était uniquement possible d’accepter ou de « devenir membre » en payant une redevance mensuelle, rendant de facto impossible le retrait du consentement. »

[Ajout contextuel Portail RGPD: Cette sanction fait suite aux récentes lignes directrices publiées par le CEPD en la matière, et selon lesquelles le  CEPD considère que dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. Cette sanction est à notre connaissance la première en la matière et pourrait servir d’avertissement pour tout l’écosystème. ]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

ADPCAT (autorité catalane)

Les technologies de surveillance par Wi-Fi : Orientations pour les responsables du traitement

L’autorité de protection des données catalane a publié des lignes directrices afin d’encadrer les traitements de surveillance du Wi-Fi. D’après le résumé exécutif de ces lignes directrices, « le suivi Wi-Fi ou Wi-Fi tracking est une technologie qui permet d’identifier et d’effacer les dispositifs mobiles par le biais des signaux Wi-Fi qu’ils émettent, de détecter la présence d’un dispositif dans une zone spécifique et d’identifier les personnes qui se déplacent. C’est pourquoi il est utilisé, par exemple, pour estimer les foules, analyser les flux de personnes ou mesurer les temps de séjour. 

Elle peut avoir des applications pratiques dans les centres commerciaux, les musées, les lieux d’intérêt particulier, les lieux de travail, les espaces publics, les transports publics ou les grands événements publics. Cependant, cette pratique présente de sérieux risques pour la vie privée, car elle peut permettre de suivre les mouvements des personnes sans qu’elles agissent ou en soient conscientes, et sans base juridique appropriée. Il est essentiel de savoir que bon nombre de ces utilisations de la localisation par Wi-Fi impliquent la collecte et le traitement de données à caractère personnel. Par conséquent, elles doivent être soumises à l’ensemble des principes, des droits individuels et des obligations des responsables du traitement des données établis par le GDPR.

Les lignes directrices analysent les implications techniques et juridiques de l’utilisation de cette technologie, identifient les principaux risques qui y sont associés et proposent également une série de recommandations spécifiques pour une utilisation responsable et compatible avec les réglementations en matière de protection des données. Ces lignes directrices ont été élaborées conjointement par l’Agence espagnole de protection des données, l’Autorité catalane de protection des données, l’Autorité basque de protection des données et le Conseil pour la transparence et la protection des données d’Andalousie. Elles sont le fruit de la collaboration des quatre autorités de contrôle, compte tenu de l’impact qu’une utilisation inadéquate de la technologie de suivi Wi-Fi peut avoir sur la vie privée et la protection des données des personnes. »

Disponible (en catalan) sur : apdcat.gencat.cat
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

 Vodafone condamné à payer une amende 200 000€ pour avoir fourni des duplicata de cartes SIM à des escrocs (« SIM swapping »)

Dans cette affaire, l’AEPD estime notamment que « les actions signalées par la plaignante ont été classées comme frauduleuses, en particulier le duplicata de carte SIM non reconnu. Un duplicata de carte SIM a été traité le 6 décembre 2022, géré par téléphone, ainsi qu’une précédente demande de duplicata de carte SIM le 5 décembre 2022, qui est cependant enregistrée comme annulée par la plaignante elle-même ». En conséquence, elle estime que « la diligence employée par Vodafone pour identifier la carte SIM est discutable. En tout état de cause, la procédure de vérification mise en œuvre par Vodafone n’a pas été suivie car, si elle l’avait été, la demande aurait dû être refusée. En vertu du principe de la responsabilité proactive, le responsable du traitement doit être en mesure de démontrer comment il respecte les principes du traitement et des bases de légitimité. principes et les bases de la légitimité. Au vu de ce qui précède, Vodafone ne prouve pas qu’une telle procédure a été suivie, il y a donc eu un traitement illicite des données à caractère personnel du plaignant, en violation de l’article 6 du RGPD. » En conséquence, Vodafone est condamné par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut