Dernières actualités : données personnelles

AP (autorité néerlandaise)

Amende de 600 000 euros pour des cookies de suivi non conformes sur le site internet Kruidvat

L’Autorité des données personnelles (AP) a imposé une amende de 600 000 euros à la société derrière la droguerie Kruidvat pour avoir suivi les visiteurs de leur site internet avec des cookies de suivi à leur insu et sans leur consentement. La société à l’origine de Kruidvat, AS Watson (Health & Beauty Continental Europe), a en outre collecté ces données auprès des visiteurs du site web afin de créer des profils personnels de ces personnes.
Effectivement, outre les données de localisation des visiteurs (tracée via l’adresse IP du visiteur unique), ces données comprenaient les pages qu’ils avaient visitées, les produits qu’ils avaient ajoutés à leur panier et achetés, ainsi que les recommandations sur lesquelles ils avaient cliqué. L’autorité précise qu’ il s’agit d’informations très sensibles, en raison de la nature spécifique des produits de droguerie: il peut en effet s’agir de tests de grossesse, de contraceptifs ou de médicaments pour toutes sortes d’affections. La société a en conséquence été condamnée à payer une amende de 600 000 euros.

Aleid Wolfsen, président de l’AP estime que  « les cookies de suivi ou les logiciels de suivi permettent aux organisations de surveiller votre comportement sur Internet. Cela n’est pas permis sans autorisation et sans que vos clients en soient informés. En effet, ce que vous faites sur l’internet est très personnel. Une organisation n’est autorisée à le suivre que si vous y consentez explicitement. Et vous devez être en mesure de refuser ce logiciel de suivi, sans que cela ne vous porte préjudice. »

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Google Chrome : Accepter la « fonction de confidentialité », mais se faire pister ! NOYB dépose plainte.

Après des années de critiques croissantes sur le suivi invasif des publicités, Google a annoncé en septembre 2023 qu’il supprimerait progressivement les cookies tiers de son navigateur Chrome. Depuis, les utilisateurs ont été progressivement incités à activer une prétendue « fonction de confidentialité des publicités » qui permet en fait de suivre les gens à la trace. Bien que le « Privacy Sandbox » soit présenté comme une amélioration par rapport au suivi extrêmement invasif par des tiers, le suivi est désormais simplement effectué dans le navigateur par Google lui-même. Pour ce faire, l’entreprise a théoriquement besoin du même consentement éclairé de la part des utilisateurs. Au lieu de cela, Google trompe les gens en prétendant « Activer une fonction de confidentialité des publicités ». noyb a donc déposé une plainte auprès de l’autorité autrichienne de protection des données.

A hand is holding an opened padlock. In the background, there is a blurred Google Chrome logo.

Disponible sur: noyb.eu

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Booking signale une violation de données à temps après l’intervention de l’autorité des Pays-Bas

L’Autorité des données personnelles (« Autoriteit Persoonsgegevens » ou AP) a mis fin à une période de contrôle intensif de Booking, après avoir conclu que la société a bien respecté les règles relatives à la notification des violations de données en 2023.  En effet, deux ans plus tôt, l’entreprise avait été condamnée à payer une amende de 475 000 euros en 2021 pour avoir notifié tardivement une violation de données. Dans cette fuite, des criminels ont saisi les données personnelles de 4 000 clients, y compris les détails des cartes de crédit de 300 victimes.

Au cours de la période qui a suivi, l’entreprise est soupçonnée ne pas avoir signalé à temps de nouvelles fuites de données. L’autorité néerlandaise a ainsi contrôlé Booking pendant un an en 2023 , afin de voir si l’entreprise respectait correctement les règles relatives à la notification des violations de données. En instaurant une surveillance plus intensive, l’AP voulait s’assurer que la société signale les fuites de données à temps, à la fois à l’AP et aux victimes. Ainsi, Booking devait rendre compte, jusqu’en 2023, des mesures prises pour signaler les violations de données à l’AP dans les délais impartis ; ainsi que des mesures prises pour prévenir les incidents futurs. En outre, le Parlement européen a vérifié si l’entreprise n’avait pas injustement omis de signaler certains incidents. Résultat: au cours de la période de contrôle intensifié, il a été constaté que l’entreprise avait effectivement signalé tous les incidents qu’elle était tenue de signaler.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction  est susceptible d’avoir été traduite de manière automatisée.

Retour en haut