Dernières actualités : données personnelles

AEPD (autorité espagnole)

Espagne : 70 000 euros d’amende pour le partage d’images de vidéosurveillance sur Wechat

Le 21 juin 2024, l’autorité espagnole a publié une sanction à l’encontre d’une entreprise agroindustrielle CUI ZSQ FOOD pour avoir traité des données à caractère personnel d’un employé sans base légale, et pour ne pas avoir suffisamment garanti la confidentialité de ces données : en l’occurrence, à l’occasion d’un détournement de finalité par un employé de la société. Le 12 décembre 2022, une plainte est déposée par une personne qui déclare « qu’elle travaille chez le défendeur et que ses installations disposent d’un système de vidéosurveillance qui a été utilisé par l’entreprise, lorsqu’une personne est absente du travail pendant 18 minutes, pour menacer les employés par le biais d’un groupe sur l’application de téléphonie mobile WE CHAT, en montrant deux vidéos faisant allusion à la période d’absence de ladite personne. La plainte est accompagnée d’une copie des vidéos postées dans le chat et d’images du chat, en chinois, et d’une traduction en espagnol par un traducteur-interprète chinois assermenté. »  L’enquête de l’AEPD a d’abord conclu à la clôture de la plainte : l’entreprise arguait en effet qu’il n’était pas possible d’identifier une personne et qu’aucun travailleur n’a été puni ou réprimandé pour cet évènement mais aussi que c’était une réaction à chaud de la personne chargée du suivi de la protection (au regard du préjudice pour l’entreprise).

Toutefois, la plaignante réouvre l’affaire à l’occasion d’un recours et a obtenu gain de cause, l’AEPD estimant que « la diffusion dans une application de messagerie d’une vidéo dans laquelle une personne de sexe féminin est identifiée dans son environnement de travail, temporairement absente de son poste et revenant quelques minutes plus tard, sans qu’il existe une base légale pour un tel traitement, est contraire à la réglementation en matière de protection des données. » L’AEPD a également estimé que « la confidentialité des données personnelles du travailleur susmentionné et des autres employés visibles dans l’enregistrement a été violée » du fait de cette diffusion.
En conséquence, l’entreprise a été condamnée à payer une amende de 70 000 euros, qui peut être réduite à 42 000 euros en cas de paiement volontaire et en cas de reconnaissance de responsabilité (ce qui n’est pas le cas à ce jour).

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transmission d’une adresse postale incomplète au fichier des incidents bancaires : une banque espagnole condamnée à une amende de 200 000 euros

Il y a quelques jours, une banque espagnole s’est vue condamnée à payer une amende de 200 000 euros en raison de manquements au principe d’exactitude des données. Cette affaire commence avec un incident bancaire comme il en arrive tous les jours, en l’occurrence en raison d’un solde débiteur sur la carte de crédit de la personne : conformément aux procédures en vigueur, la banque espagnole a signalé cet incident auprès du fichier recensant de telles incidents. Néanmoins, l’adresse communiquée par la banque au gestionnaire du fichier n’était pas « l’adresse exacte du défendeur, et était incomplète ».

Le particulier qui a découvert le pot-au-roses à l’occasion de demandes de crédit, a ainsi déposé une plainte. L’enquête de l’AEPD a montré que la notification d’inscription au fichier des incidents n’avait pas pu être délivrée par les services postaux et était revenue pour raison de « signes incorrects ». Malgré cela, la banque a indiqué au gestionnaire de fichier que l’adresse était bien correcte sans avoir au préalable vérifié auprès de leur client.
Il est notable que cette erreur a eu des conséquences importantes sur le plaignant en raison du refus de ses demandes de crédit, ce qui ne serait peut-être pas arrivé si cette inexactitude avait été corrigée : en effet, la procédure veut qu’avant l’inscription au fichier des incidents bancaires, des demandes de paiement soient envoyées au client : celles-ci n’ont peut-être pas été reçues, même si la banque a signalé lors de l’enquête que les lettres n’avaient pas été retournées. Cela étant dit, il est d’usage de « nettoyer » ses comptes avant de faire des demandes de crédit (afin d’augmenter ses chances), de telle sorte que cette dette aurait probablement été payée si le client en avait eu connaissance.

Quoi qu’il en soit, cette erreur a couté cher à la banque puisque l’AEPD estime que «  » le fait que le défendeur n’ait pas fourni l’adresse exacte du demandeur a causé un grave préjudice à ce dernier, car il n’a pas pu avoir connaissance de son inscription au fichier de solvabilité, étant donné que l’avis d’inscription au fichier de solvabilité a été envoyé à une adresse électronique inexacte, qui n’avait pas été mise à jour par le défendeur, ce qui entraîne une violation du
principe d’exactitude régi par l’article 5.1 d) du RGPD. » La banque a ainsi été condamnée à une amende de 200 000 euros mais n’en a finalement payé « que » 120 000 : la société a reconnu sa responsabilité et a ainsi pu bénéficier d’une réduction, et d’une autre réduction appliquée dans le cas d’un paiement volontaire.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

Allianz condamné à une amende de 200 000 euros par l’autorité espagnole

Le 13 juin 2024, l’autorité espagnole a publié une sanction à l’encontre du groupe d’assurances Allianz en raison de mesures techniques et organisationnelles non appropriées pour garantir un niveau de sécurité adapté au risque présenté par le traitement. Cette affaire, sur fond de divorce et de bataille judiciaire pour la pension alimentaire des enfants, commence avec la production par madame de documents relatifs à une police d’assurance souscrite par monsieur pour son véhicule, notamment un « extrait des systèmes de la compagnie d’assurance Allianz auxquels elle a eu un accès non autorisé » . Cet accès avait été permis par une connaissance amicale de madame qui était  employé du Centre de traitement des réclamations (CTS) de la société Allianz et « qui, en violation des politiques de protection des données de la société et du code de conduite applicable à tous les employés de la société, qui comprend le devoir de confidentialité de tous les employés par rapport aux données personnelles et le devoir de confidentialité de tous les employés par rapport aux données personnelles de l’employé de la société« .

Cette communication non autorisée, réalisée par l’employée de manière intentionnelle et en connaissance de son illégalité, constitue une violation de la confidentialité des données à caractère personnel que l’entreprise a dû notifier le 14 septembre dans les soixante-douze (72) heures après en avoir pris connaissance, comme le prévoit la réglementation en vigueur. Néanmoins, cela n’a pas été suffisant, et le code de conduite de l’entreprise ou encore les formations dispensées aux salariés non plus : au cours de l’enquête, Allianz a reconnu qu’il n’y a pas de traçabilité des accès. L’AEPD a ainsi a déduit de ce manque de traçabilité – dont l’objet est précisément de contrôler la possibilité d’un accès abusif -, qu’il y avait un manque de mesures de sécurité et une infraction aux articles 5,1,f et 32 du RGPD. Allianz a ainsi été condamné à une amende de 200 000 euros mais n’en a finalement payé « que » 160 000 : la société a reconnu sa responsabilité et a ainsi pu bénéficier d’une réduction. Si elle réalise un paiement volontaire, l’amende sera même réduite à 120 000 euros, une réduction supplémentaire s’appliquant.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Google Chrome : Accepter la « fonction de confidentialité », mais se faire pister ! NOYB dépose plainte.

Après des années de critiques croissantes sur le suivi invasif des publicités, Google a annoncé en septembre 2023 qu’il supprimerait progressivement les cookies tiers de son navigateur Chrome. Depuis, les utilisateurs ont été progressivement incités à activer une prétendue « fonction de confidentialité des publicités » qui permet en fait de suivre les gens à la trace. Bien que le « Privacy Sandbox » soit présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même. Pour ce faire, l’entreprise a théoriquement besoin du même consentement éclairé de la part des utilisateurs. Au lieu de cela, Google trompe les gens en prétendant « Activer une fonction de confidentialité des publicités ». noyb a donc déposé une plainte auprès de l’autorité autrichienne de protection des données.

A hand is holding an opened padlock. In the background, there is a blurred Google Chrome logo.

Disponible sur: noyb.eu

AEPD (autorité espagnole)

Worldcoin s’engage à cesser ses activités en Espagne

En mars dernier, l’Agence espagnole de protection des données (AEPD) a pris une mesure conservatoire ordonnant à la société à l’origine du Worldcoin de cesser la collecte et le traitement de données à caractère personnel qu’elle effectuait en Espagne dans le cadre de son projet Worldcoin.  Entre-temps, les investigations du Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), l’autorité de protection des données de Bavière (Allemagne), où la société a son principal établissement en Europe, progressent et devraient se conclure prochainement par une décision finale basée sur des alignements avec toutes les autorités de contrôle européennes concernées. L’AEPD précise collaborer avec l’autorité bavaroise de protection des données, qui est l’autorité principale en matière de traitement des données, l’AEPD étant l’autorité intéressée, comme le prévoit le GDPR.

Dans ce contexte, l’entreprise a pris l’engagement juridiquement contraignant de ne pas reprendre ses activités en Espagne avant la fin de l’année ou, le cas échéant, jusqu’à ce que la BayLDA adopte une résolution finale concernant le traitement des données effectué par l’entreprise. La société éditrice du Worldcoin a annoncé des changements dans son fonctionnement, tels que l’introduction de contrôles pour vérifier l’âge ou la possibilité d’éliminer le code iris.

[Ajout contextuel Portail RGPD: Pour rappel, Worldcoin est un outil permettant de créer une identité numérique via l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie. Cette technologie a très vite fait l’objet de nombreuses plaintes en Europe, notamment en Espagne et au Portugal où elles ont été interdites, de même qu’en Italie où un avertissement a été adressé à la société avant même qu’elle le déploie sa solution.]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Selon NOYB, Kurier a forcé les utilisateurs à donner leur consentement

L’association de Max Schrems NOYB a déposé aujourd’hui une plainte contre Kurier. Il y a quelques mois, les utilisateurs ont été contraints de consentir à l’utilisation de Google et d’autres cookies de suivi lorsqu’ils visitaient le site web du quotidien autrichien. Ce faisant, l’entreprise a clairement violé le GDPR, ce qui a également été confirmé par l’autorité autrichienne de protection des données : Cette dernière avait déjà interdit au magazine d’information Profil (qui fait partie du même groupe de médias) d’utiliser ce type de consentement forcé.
05 June 2024

The logo of the Austrian daily newspaper KURIER is placed on a red background and is surrounded with cookies

Disponible sur: noyb.eu

AEPD (autorité espagnole)

L’AEPD a ordonné à Meta de cesser la mise en œuvre les fonctionnalités électorales qu’elle prévoit de lancer en Espagne

Ce jour, l’Agence espagnole de protection des données (AEPD) a ordonné  à Meta Platforms Ireland Limited de suspendre, immédiatement et en vue des prochaines élections du Parlement européen, le lancement sur le territoire espagnol des fonctionnalités Election Day Information (EDI) et Voter Information Unit (VIU), ainsi que la collecte et le traitement des données liées à leur utilisation. Ces fonctionnalités devraient être lancées pour tous les utilisateurs de ses services habilités à voter aux élections européennes, à l’exception de l’Italie, dont l’autorité de protection des données mène déjà une procédure en cours à ce sujet.

Sur le fond, l’AEPD justifie cette mesure par le fait que que le traitement des données envisagé par l’entreprise est contraire au règlement général sur la protection des données (RGPD), qui, à tout le moins, violerait les principes de protection des données que sont la licéité, la minimisation des données et la limitation de la durée de conservation. En effet, à travers ces deux fonctionnalités, qui consistent à fournir des informations aux utilisateurs de Facebook et d’Instagram sur les élections européennes, Meta entend traiter des données à caractère personnel telles que, entre autres, le nom, l’adresse IP, l’âge et le sexe de l’utilisateur ou des informations sur la manière dont il interagit avec ces fonctionnalités. Or, l’autorité considère que la collecte et la conservation des données prévues par l’entreprise mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations qu’elle collecte à leur sujet, ce qui permettrait un profilage plus complexe, détaillé et exhaustif, et générerait un traitement plus intrusif.

Sur la compétence de l’AEPD, si celle-ci n’est pas – en principe – l’autorité compétente en ce que Meta a son siège européen en Irlande, c’est sans compter sur l’article 66.1 du RGPD prévoyant que « dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée – dans ce cas l’AEPD – considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes, elle peut adopter des mesures provisoires produisant des effets juridiques sur son territoire et dont la durée de validité ne peut excéder trois mois. » En l’occurrence, l’AEPD estime que qu’il est urgent, dans le contexte des élections, d’empêcher  « la collecte de données, le profilage des utilisateurs et le transfert à des tiers, évitant que les données soient utilisées par des inconnus et à des fins non explicites ».

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

🔧L’AEPD lance une nouvelle version de son outil Gestiona RGPD

L’Agence espagnole de protection des données (AEPD) a lancé une nouvelle version de Gestiona RGPD, un outil gratuit et accessible par navigateur qui aide à gérer le traitement des données personnelles, à évaluer et à gérer les risques grâce à un catalogue de mesures de protection de la vie privée et, si nécessaire, à réaliser des évaluations d’impact. Gestiona RGPD s’adresse aux responsables du traitement des données et aux sous-traitants, ainsi qu’aux délégués à la protection des données. La nouvelle version élargit le catalogue des mesures de protection de la vie privée applicables (passant de 500 à près de 800) pour atténuer les risques identifiés dans le traitement et comprend des améliorations dans l’édition des rapports finaux, entre autres possibilités. En effet, la sélection des facteurs de risque et des mesures pour les atténuer constitue un vaste point de départ pour les processus d’identification et de gestion des risques qui sont nécessaires pour se conformer à l’approche du risque définie dans le GDPR.

Gestiona RGPD permet de gérer de manière intégrée le registre des activités de traitement d’une organisation, jusqu’à 500 traitements, ainsi que ceux de différentes entités. Il comprend des fonctions permettant d’identifier les facteurs de risque pour les droits et libertés des personnes et de procéder à une première évaluation du risque intrinsèque. Ces fonctions permettent de gérer le risque avec des mesures de protection de la vie privée que l’outil lui-même suggère pour chaque facteur de risque identifié, ainsi que des mesures de gestion des violations de données à caractère personnel et de sécurité, et des mesures organisationnelles et des politiques de protection des données.

Disponible (en espagnol) sur: aepd.es L’outil est également disponible en anglais.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut