Dernières actualités : données personnelles

NOYB – None of your business

Unsere Wasserkraft & KSV 1870 : De l’électricité propre seulement après une vérification de crédit sale ?

Aujourd’hui, noyb a déposé une plainte auprès de l’autorité autrichienne de protection des données contre l’agence de référence de crédit KSV1870 et le fournisseur d’énergie « Unsere Wasserkraft ». Lorsqu’ils tentent de conclure un contrat avec Unsere Wasserkraft, les nouveaux clients sont soumis à une vérification de crédit entièrement automatisée par KSV, sans qu’on le leur demande. Si vous obtenez un score prétendument insuffisant, vous êtes rejeté par Unsere Wasserkraft sans aucune autre mesure de vérification. Une telle procédure est illégale, comme la Cour européenne de justice l’a également jugé dans une affaire similaire. Le KSV 1870 et ses clients semblent se renvoyer la responsabilité de l’examen d’un cas individuel.

Unsere Wasserkraft_KSV

Disponible sur: noyb.eu

DPC (via Euractif)

L’autorité irlandaise saisit la justice au sujet du traitement des données pour l’entraînement à l’IA

La Commission irlandaise de protection des données (DPC) a entamé une procédure judiciaire contre la plateforme de médias sociaux X mardi (6 août), selon le site web de la Haute Cour d’Irlande. La plainte porte sur le traitement des données des utilisateurs pour Grok, un modèle d’intelligence artificielle (IA), a rapporté l’Irish Examiner mercredi. Le compte Global Government Affairs de X a indiqué que le rapport était correct dans un message publié le 7 août.

Grok a été développé par xAI, une entreprise fondée par Elon Musk, propriétaire de X, et utilisé comme assistant de recherche pour les comptes premium sur la plateforme de médias sociaux. Entre autres choses, le DPC demande au tribunal d’ordonner à X d’arrêter ou de restreindre le traitement des données des utilisateurs pour former ses systèmes d’IA, a rapporté l’Irish Examiner, qui a également écrit que le DPC prévoyait de renvoyer l’affaire au Conseil européen de la protection des données (EDPB) pour un examen plus approfondi.

L’EPDB a déclaré à Euractiv que le DPC irlandais n’avait pas encore renvoyé l’affaire au conseil de l’UE.

Disponible (en anglais) sur: euractiv.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

NOYB – None of your business

Google Chrome : Accepter la « fonction de confidentialité », mais se faire pister ! NOYB dépose plainte.

Après des années de critiques croissantes sur le suivi invasif des publicités, Google a annoncé en septembre 2023 qu’il supprimerait progressivement les cookies tiers de son navigateur Chrome. Depuis, les utilisateurs ont été progressivement incités à activer une prétendue « fonction de confidentialité des publicités » qui permet en fait de suivre les gens à la trace. Bien que le « Privacy Sandbox » soit présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même. Pour ce faire, l’entreprise a théoriquement besoin du même consentement éclairé de la part des utilisateurs. Au lieu de cela, Google trompe les gens en prétendant « Activer une fonction de confidentialité des publicités ». noyb a donc déposé une plainte auprès de l’autorité autrichienne de protection des données.

A hand is holding an opened padlock. In the background, there is a blurred Google Chrome logo.

Disponible sur: noyb.eu

NOYB – None of your business

Selon NOYB, Kurier a forcé les utilisateurs à donner leur consentement

L’association de Max Schrems NOYB a déposé aujourd’hui une plainte contre Kurier. Il y a quelques mois, les utilisateurs ont été contraints de consentir à l’utilisation de Google et d’autres cookies de suivi lorsqu’ils visitaient le site web du quotidien autrichien. Ce faisant, l’entreprise a clairement violé le GDPR, ce qui a également été confirmé par l’autorité autrichienne de protection des données : Cette dernière avait déjà interdit au magazine d’information Profil (qui fait partie du même groupe de médias) d’utiliser ce type de consentement forcé.
05 June 2024

The logo of the Austrian daily newspaper KURIER is placed on a red background and is surrounded with cookies

Disponible sur: noyb.eu

DPC (autorité irlandaise)

La Data Protection Commission (autorité irlandaise) publie son rapport d’activité 2023

D’après l’autorité, les points forts du rapport annuel 2023 sont les suivants :
* 19 décisions finalisées entraînant des amendes administratives d’un montant total de 1,55 milliard d’euros, ainsi que de multiples réprimandes et ordonnances de mise en conformité imposées, y compris :
* L’autorité a reçu 11 200 nouvelles plaintes en 2023, ce qui représente une augmentation de 20 % par rapport à 2022. La DPC a conclu 11 147 affaires en 2023.  Sur celles reçues en 2023, 2 600 ont progressé vers le « processus de traitement des plaintes », 8 600 ayant été traitées relativement rapidement.
* Le nombre total de notifications de violation valides reçues en 2023 était de 6 991, ce qui représente une augmentation de 20 % par rapport à 2022. 92 % des notifications reçues en 2023 ont été conclues avant la fin de l’année.
* La DPC a apporté sa contribution et ses observations sur plus de 37 textes législatifs proposés.
* La DPC a entraîné le report ou la révision de quatre projets de plates-formes internet prévus ayant des implications pour les droits et les libertés des individus.
* Au total, 237 enquêtes sur la prospection directe par voie électronique ont été menées à bien en 2023 et l’autorité a poursuivi quatre entreprises pour l’envoi de communications commerciales non sollicitées sans consentement. La Cour a prononcé des condamnations pour tous les chefs d’accusation et a imposé des amendes d’un montant total de 2 000 euros.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Un restaurateur polonais condamné à une amende de 238 345 PLN (un peu plus de 50 000 euros) pour la perte d’une clé USB contenant les données d’un unique salarié

Le 19 juillet 2023, l’UODO a reçu une notification d’un employé l’informant de la perte d’un support de données externe (service pendrive) contenant des données personnelles partiellement chiffrées d’un autre employé administrateur. Suite à une enquête et des échanges de lettre afin de déterminer les circonstances exactes de la violation, il a été révélé que  » le support de données externe perdu (pendrive) contenait des fichiers non chiffrés contenant des données personnelles de l’employé (nom, adresse, citoyenneté, sexe, date de naissance, numéro PESEL, série et numéro de passeport, numéro de téléphone, adresse e-mail, photos (image) et données sur le montant des salaires). En outre, le support de données susmentionné disposait également de fichiers chiffrés contenant des données financières.

L’administrateur a souligné qu’il a été perdu non pas dans un lieu public, mais dans le lieu de travail, dans la partie à laquelle seuls les employés administrateurs ont accès, résulte des explications de l’employé, qui a commis la violation. » Il a également été révélé que l’entreprise avait mis en place de procédures et règles afin de sensibiliser les salariés aux règles de sécurité à appliquer lors de l’utilisation de supports externes, incluant l’interdiction de stocker des données à caractère personnel ainsi que des tutoriels pour chiffrer les données.

Malgré le caractère relativement réduit de la violation et la mise en œuvre de mesures de sécurité pouvant sembler satisfaisantes, l’autorité polonaise a constaté des violations aux règles selon lesquelles un responsable de traitement doit mettre en place des mesures de sécurité appropriées, estimant notamment que « l’administrateur a confié à ses employés la mise en œuvre de mesures de sécurité sous la forme d’un chiffrement des supports de données externes (pendrives) et qu’il n’a lui-même entrepris aucune action à cet égard pour appliquer des mesures techniques appropriées afin d’assurer la protection des données contenues sur ces supports. »

En conséquence, elle a décidé :
1) d’imposer le paiement d’une amende administrative de 238 345 PLN,
2) d’imposer [au responsable de traitement] d’adapter les opérations de traitement dans un délai de 3 mois.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Le procureur général auprès de la CJUE : Facebook doit « minimiser » les données personnelles pour les publicités dans l’UE

Aujourd’hui, le procureur général a publié son avis dans l’affaire C-446/21, estimant que  » l’expression publique de son orientation sexuelle par l’utilisateur d’un réseau social rend cette donnée « manifestement publique », sans pour autant autoriser son traitement à des fins de publicité personnalisée ». L’avocat général propose également « à la Cour de juger que le RGPD s’oppose à ce que des données personnelles puissent être traitées à des fins de publicité ciblée sans limitation dans le temps. La juridiction nationale doit pouvoir estimer, sur base notamment du principe de proportionnalité, dans quelle mesure la période de conservation et la quantité des données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données pour une publicité personnalisée. L’association NOYB vous fait part de ses premières réactions.

Court of Justice of the European Union

Disponible sur: noyb.eu

Retour en haut