Dernières actualités : données personnelles

NOYB – None of your business

Unsere Wasserkraft & KSV 1870 : De l’électricité propre seulement après une vérification de crédit sale ?

Aujourd’hui, noyb a déposé une plainte auprès de l’autorité autrichienne de protection des données contre l’agence de référence de crédit KSV1870 et le fournisseur d’énergie « Unsere Wasserkraft ». Lorsqu’ils tentent de conclure un contrat avec Unsere Wasserkraft, les nouveaux clients sont soumis à une vérification de crédit entièrement automatisée par KSV, sans qu’on le leur demande. Si vous obtenez un score prétendument insuffisant, vous êtes rejeté par Unsere Wasserkraft sans aucune autre mesure de vérification. Une telle procédure est illégale, comme la Cour européenne de justice l’a également jugé dans une affaire similaire. Le KSV 1870 et ses clients semblent se renvoyer la responsabilité de l’examen d’un cas individuel.

Unsere Wasserkraft_KSV

Disponible sur: noyb.eu

Datatilsynet (auorité danoise)

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Google Chrome : Accepter la « fonction de confidentialité », mais se faire pister ! NOYB dépose plainte.

Après des années de critiques croissantes sur le suivi invasif des publicités, Google a annoncé en septembre 2023 qu’il supprimerait progressivement les cookies tiers de son navigateur Chrome. Depuis, les utilisateurs ont été progressivement incités à activer une prétendue « fonction de confidentialité des publicités » qui permet en fait de suivre les gens à la trace. Bien que le « Privacy Sandbox » soit présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même. Pour ce faire, l’entreprise a théoriquement besoin du même consentement éclairé de la part des utilisateurs. Au lieu de cela, Google trompe les gens en prétendant « Activer une fonction de confidentialité des publicités ». noyb a donc déposé une plainte auprès de l’autorité autrichienne de protection des données.

A hand is holding an opened padlock. In the background, there is a blurred Google Chrome logo.

Disponible sur: noyb.eu

NOYB – None of your business

Selon NOYB, Kurier a forcé les utilisateurs à donner leur consentement

L’association de Max Schrems NOYB a déposé aujourd’hui une plainte contre Kurier. Il y a quelques mois, les utilisateurs ont été contraints de consentir à l’utilisation de Google et d’autres cookies de suivi lorsqu’ils visitaient le site web du quotidien autrichien. Ce faisant, l’entreprise a clairement violé le GDPR, ce qui a également été confirmé par l’autorité autrichienne de protection des données : Cette dernière avait déjà interdit au magazine d’information Profil (qui fait partie du même groupe de médias) d’utiliser ce type de consentement forcé.
05 June 2024

The logo of the Austrian daily newspaper KURIER is placed on a red background and is surrounded with cookies

Disponible sur: noyb.eu

CNPD (autorité luxembourgeoise)

La CNPD (autorité de protection des données du Luxembourg) a mis en ligne un « bac à sable » (sandbox) réglementaire sur l’intelligence artificielle. 

Dans le cadre de sa mission de guidance la CNPD propose un « bac à sable règlementaire » ou « regulatory Sandbox ».
Le programme SandKëscht est un environnement dédié à la mise à l’essai et à la compréhension des implications légales des nouvelles technologies et / ou de nouveaux usages de la donnée, notamment dans le domaine de l’intelligence artificielle, en collaboration avec les acteurs luxembourgeois. Axée sur la protection des données personnelles, cette initiative suit un plan spécifique sur une période définie, encourageant l’innovation tout en consolidant la confiance du public dans les nouvelles technologies.

En rassemblant une diversité d’acteurs du secteur public et privé, grands et petits, le programme vise à encourager une approche collaborative et proactive dans la gestion des défis émergents liés à la confidentialité des données et à l’utilisation de l’IA. Dans cet environnement, les principes directeurs ( »proactivité, collaboration, expérimentation, agilité, orienté résultat ») conduisent la démarche et guide les participants à travers un processus structuré, garantissant une définition claire des objectifs, une évaluation rigoureuse des alternatives, une mise en œuvre efficace des actions et un suivi attentif pour assurer l’atteinte des objectifs fixés.

Disponible (en anglais) sur: cnpd.public.lu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Le procureur général auprès de la CJUE : Facebook doit « minimiser » les données personnelles pour les publicités dans l’UE

Aujourd’hui, le procureur général a publié son avis dans l’affaire C-446/21, estimant que  » l’expression publique de son orientation sexuelle par l’utilisateur d’un réseau social rend cette donnée « manifestement publique », sans pour autant autoriser son traitement à des fins de publicité personnalisée ». L’avocat général propose également « à la Cour de juger que le RGPD s’oppose à ce que des données personnelles puissent être traitées à des fins de publicité ciblée sans limitation dans le temps. La juridiction nationale doit pouvoir estimer, sur base notamment du principe de proportionnalité, dans quelle mesure la période de conservation et la quantité des données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données pour une publicité personnalisée. L’association NOYB vous fait part de ses premières réactions.

Court of Justice of the European Union

Disponible sur: noyb.eu

ACCP (autorité chypriote)

La Commission chypriote à la protection des données donne son feu vert à l’installation de systèmes de vidéosurveillance dans les écoles, en dehors des heures de cours.

D’après le communiqué de presse, « le ministère de l’éducation et de la jeunesse a réalisé une étude d’impact sur le fonctionnement d’un système de vidéosurveillance en circuit fermé (CCTV) dans les écoles pour la prévention et le traitement de la violence et de la délinquance, qu’il a soumise à la commission à des fins de consultation. À la lumière de ce qui a été présenté et suite à la confirmation hier de l’adoption des derniers commentaires et suggestions de l’autorité, celle-ci a constaté que l’analyse d’impact répond aux exigences de l’article 35 du GDPR et a approuvé l’installation de CCTV dans les écoles. Par conséquent, l’ACCP, en tant que responsable du traitement, est en mesure de lancer les activités et opérations de traitement pertinentes qui ont fait l’objet de l’analyse d’impact présentée.
Dans un premier temps, le fonctionnement du CBC sera lancé à titre pilote dans 10 unités scolaires. »

La commission en a également dévoilé un peu plus sur le contenu de cette AIPD, ainsi que sur le traitement:
« α. Des caméras vidéo seront installées aux entrées/sorties principales des unités scolaires, ainsi qu’à leurs abords.
β. La portée de l’enregistrement sera limitée aux limites des unités scolaires et aucune zone privée ou publique adjacente ne sera enregistrée.
c. La vidéosurveillance sera activée en dehors des heures de cours.
δ. Le matériel visualisé sera stocké pendant une période de 72 heures.
ε. Accès strictement limité au matériel audiovisuel.
f. Des panneaux d’avertissement seront installés pour information. »

Disponible (en grec) sur: dataprotection.gov.cy
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut