Dernières actualités : données personnelles

La Quadrature du Net

L’algorithme de notation de la CNAF attaqué devant le Conseil d’État par 15 organisations

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

La Quadrature précise que cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisés dans leurs parcours de vie.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Vérification de l’âge en ligne : la CNIL a rendu son avis sur le référentiel de l’Arcom concernant l’accès aux sites pornographiques

Certains sites ou services sur Internet sont réservés aux majeurs, en particulier lorsqu’ils donnent accès à des contenus à caractère pornographique. Pour vérifier l’âge des internautes, la loi visant à sécuriser et à réguler l’espace numérique (SREN) prévoit l’adoption par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) d’un référentiel. Celui-ci détermine les exigences techniques minimales applicables aux systèmes de vérification de l’âge auxquels doivent recourir les sites diffusant des contenus à caractère pornographique. Les sites internet visés par le référentiel doivent mettre en œuvre un système de contrôle de l’âge conforme aux caractéristiques techniques du référentiel dans un délai de trois mois après sa publication.

La CNIL s’est prononcée, le 26 septembre 2024, sur ce projet de référentiel dont les exigences portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée. Globalement, la CNIL accueille favorablement la publication par l’Arcom d’un référentiel encadrant les systèmes de vérification de l’âge reprenant une partie importante de ses préconisations relatives à la protection des données personnelles et de la vie privée.

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

Amende de 12 500 euros pour une université norvégienne qui n’a pas bien sécurisé ses données

Ce jour, l’autorité norvégienne de protection des données a annonce avoir infligé une amende de 150 000 NOK [environ 12500 euros] à l’université d’Agder (UiA) pour avoir enfreint le règlement général sur la protection des données. En particulier, il lui est reproché de ne pas avoir mis en œuvre les mesures appropriées pour garantir la sécurité des données à caractère personnel dans le cadre de son utilisation de Microsoft Teams.

En février 2024, un employé de l’UiA a découvert que des documents contenant des données personnelles avaient été stockés dans des dossiers Teams ouverts, auxquels des employés sans besoin professionnel avaient accès. L’infraction était en cours depuis que l’université avait commencé à utiliser Microsoft Teams en août 2018. Les données personnelles étaient accessibles dans le système, et les employés pouvaient y accéder via des recherches dans des dossiers ouverts. L’infraction concerne des documents contenant des données personnelles sur des employés, des étudiants et des acteurs externes. Environ 16 000 personnes enregistrées sont concernées.

Les données comprennent notamment des noms, des numéros de naissance, des informations sur les examens aménagés, le nombre de tentatives d’examen et des dispositions particulières. De plus, l’infraction incluait une liste des réfugiés d’Ukraine liés à l’université, avec des informations telles que les coordonnées, la formation et le statut de résidence.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Télésurveillance des examens en ligne : quels sont vos droits en tant qu’étudiant ?

Un établissement doit mettre en place des outils de télésurveillance d’examen adaptés au contexte et à l’enjeu de l’épreuve. Il doit toujours vous en informer, vous permettre d’accéder aux informations collectées dans le cadre de cette télésurveillance d’examen en ligne et, en règle générale, de vous y opposer. En tant qu’étudiant, la surveillance des examens en ligne peut vous concerner et peut avoir des conséquences sur votre vie privée : comme pour toute collecte et utilisation de données personnelles, vous avez des droits. De manière générale, la CNIL recommande aux établissements de proposer systématiquement des alternatives moins intrusives, comme le passage de l’examen en présentiel.

Disponible sur: CNIL.fr

L’Usine digitale

Cybersécurité : l’université Paris-Saclay touchée par un ransomware

L’université Paris-Saclay a annoncé le 12 août avoir subi un incident de sécurité dans ses systèmes. “Une cyberattaque par rançongiciel a touché l’Université Paris-Saclay le 11 août, écrit-elle dans un message publié sur X (ex-Twitter). L’Université est accompagnée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour traiter cet incident.” A ce stade, aucune information n’a été donnée quant aux systèmes impactés ou à la nature des données personnelles subtilisées.

Disponible sur: usine-digitale.fr

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

Datatilsynet (auorité danoise)

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Les autorités nordiques publient un guide commun sur la protection des enfants jouant à des jeux sur internet

Les 13 et 14 octobre 2022, une « réunion nordique sur la protection des données » s’est tenue à Helsinki pour discuter des questions d’actualité dans le domaine de la protection des données et pour partager des expériences. Les autorités nordiques de protection des données (DPA) ont adopté la « Déclaration d’Helsinki », dans laquelle il a été convenu que la protection des données des enfants était une priorité pour les autorités nordiques.

L’autorité danoise de protection des données a attiré l’attention sur les conclusions d’un rapport de groupe de réflexion rédigé par la Danish Society Engineers et DataEthics.eu sur les technologies du jeu, les données et les enfants, qui met en lumière la nécessité de mieux protéger les droits des enfants jouant à des jeux numériques. Compte tenu de l’essor de l’industrie des jeux numériques, y compris dans les pays nordiques, les autorités de protection des données des pays nordiques ont décidé de créer un groupe de travail informel sur les enfants et les jeux en ligne. Ce groupe devait tout d’abord envisager des activités communes de sensibilisation et d’orientation afin de promouvoir les droits des enfants en matière de protection des données.

Le groupe de travail s’est particulièrement concentré sur la nécessité de fournir des orientations de base aux responsables du traitement des données qui doivent veiller à ce que les enfants bénéficient de la protection à laquelle ils ont droit lorsqu’ils conçoivent et développent des jeux numériques. Ce document, qui est le résultat de la coopération nordique telle qu’elle a été décidée à Helsinki en octobre 2022, fournit des conseils de base pour le traitement conforme au RGPD dans le contexte des jeux en ligne utilisés par les enfants. Il explore quatre des principes de traitement des données énoncés dans le règlement – équité, transparence, minimisation des données et responsabilité – et présente un certain nombre de questions et de considérations importantes pour les responsables du traitement. Les autorités annonce que ce guide n’a pas l’intention d’être exhaustif ; non seulement il existe d’autres principes de traitement des données, mais les principes sont tous délibérément de nature générale et nécessiteront des mises en œuvre différentes dans des circonstances différentes. De même, si les quatre principes examinés ici sont importants, ils complètent, plutôt qu’ils ne remplacent, les autres dispositions du RGPD. Il appartient donc aux responsables du traitement d’examiner minutieusement leurs activités de traitement et de déterminer ce qu’ils doivent faire pour se conformer à la loi et aux droits de leurs joueurs.

Disponible (en anglais) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Découvrez les productions lauréates des Trophées des classes 2024 « Ensemble, tous protégés sur Internet ! ».

En novembre 2023, le ministère de l’Éducation nationale et la CNIL ont lancé le concours « Trophées des classes », en partenariat avec Radio France, le collectif Educnum, et les établissements scolaires du dispositif eTwinning, déployé par le réseau Canopé. Le concours « Trophées des classes » vise à promouvoir une culture citoyenne des usages du numérique, dans le cadre de l’éducation aux médias et à l’information. Il s’agit notamment de connaître les droits et les devoirs liés à l’usage d’Internet, de savoir protéger sa vie privée et ses données personnelles pour une utilisation responsable des outils et des ressources numériques en ligne. Le concours était ouvert à toutes les classes du CM1 à la 3e et dans les lycées français à l’étranger. Les élèves étaient invités à produire un support numérique sur une thématique au choix : « Gérer son identité en ligne » ou « Se protéger contre le cyberharcèlement ».

Après délibération du jury le 17 mai 2024, les classes de France métropolitaine et d’Outre-Mer ayant participé au concours ont été départagées : un lycée professionnel, trois collèges et deux écoles élémentaires ont vu leurs productions numériques récompensées.

Disponible sur: CNIL.fr

Retour en haut