Dernières actualités : données personnelles

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

Belgique : l’APD estime que les pratiques de NOYB en matière de plainte et de représentation constituent un abus de droit

A l’occasion d’une décision rendue le 6 septembre, l’APD a rejetté une affaire … en raison, notamment, d’un abus de droit qui aurait été commis par NOYB.
Cette affaire commence avec une plainte réalisée par NOYB (au moyen d’un mandat) concernant le suivi présumé du plaignant par l’éditeur d’un site web (flair.be). Au cours de ce processus, un code HTML (pour l’outil Google Analytics) aurait été intégré via le site web du premier défendeur, qui pourrait être lié au compte du plaignant auprès du deuxième défendeur. Le plaignant affirme que les données à caractère personnel correspondantes ont été transférées illégalement aux États-Unis d’Amérique dans ce contexte.

L’Inspection (dont l’autorité note qu’il s’agit d’un corps indépendant de la Chambre des Litiges) décide de se pencher sur la légalité du mandat et du modèle d’action de NOYB. Le rapport d’enquête note ainsi « que les demandes traitées par NOYB qui ont été soumises à l’APD en août 2020 ont utilisé une méthode semi-automatique d’envoi “en masse”, mais également que les différentes demandes d’enquête soumises en août 2020 avaient le même format et la même signature. Des documents supplémentaires ont été envoyés à plusieurs reprises dans un courriel lié […] Pour les différentes demandes, la même personne concernée revient sans cesse et a donné un mandat à NOYB […]. L’autorité note également que le contenu du mandat montre également que NOYB n’a pas été correctement mandaté  car plusieurs éléments du mandat n’étaient pas détaillés, ou formulés de manière peu claire ou ambiguë. En outre, le plaignant était en réalité un stagiaire de NOYB au moment où le mandat a été donné.  Enfin, le rapport estime qu’en raison du manque de transparence concernant le modus operandi de NOYB, la perception est donc créée au moins que NOYB utilise ses employés pour servir ses intérêts soumettant des demandes/plaintes plutôt que […] l’intérêt personnel d’un plaignant.  En outre, l’enquête  confirme l’indication selon laquelle il s’agit d’un usage abusif de la procédure en vertu de l’article 80 du RGPD. L’Inspection note que les stagiaires pour les demandes susmentionnées en 2021 ont été systématiquement répertoriés comme « plaignants » dans les activités de NOYB. Cela est l’indice d’un conflit d’intérêts. »

La Chambre des Litiges (dont le rôle est de décider des suites à donner) décide d’analyser la situation, et rejette finalement la plainte pour les raisons suivantes :

1 – Le fait que la plainte ait été déposée sur la base d’un « cas modèle » préétabli par NOYB crée un intérêt artificiel (à agir) et constitue un abus de droit : l’artificialité de la construction est prouvée, selon la Chambre, puisque l’identité des sous-traitants et les griefs soulevés n’ont pas été identifiés par le plaignant en question (mais à l’avance par le représentant), et par les brèves visites du site web par le plaignant en question, observées par l’Inspection et indiquées par les deux défendeurs dans leurs défenses. Le représentant déclare publiquement que cette plainte s’inscrit dans le cadre d’un projet général relatif aux transferts de données.40 Il a été déclaré lors de l’audition que les stagiaires peuvent « devenir » une personne concernée sans aucune obligation.

2 – Un mandat fictif en invoquant des griefs et un contrôleur préétablis dans le cadre d’un stage : les griefs sont préétablis au nom du plaignant, de la même manière que le modus operandi avec les mandats en vertu de l’article 80, paragraphe 1, du GDPR est préétabli. En outre, l’identité du responsable du traitement sollicité est également établie par le représentant avant que le plaignant n’accepte le « cas modèle » et n’accorde un mandat à cet égard.

3 – Une construction artificielle visant à soulever des questions générales et accessoires pour les objectifs politiques d’une association : comme le note à juste titre l’Inspection à cet égard, il existe un conflit d’intérêts potentiel, ou du moins des intérêts différents, en l’occurrence. Dans le cadre d’un mandat de représentation, le représentant doit privilégier les intérêts du plaignant et ne pas poursuivre ses propres objectifs politiques.

Disponible (en anglais) sur : autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

 100 000 euros d’amende pour l’opérateur ayant mis 14 mois à répondre à une demande d’exercice des droits

Dans une décision publiée le 23 aout 2024, l’autorité de protection des données belge a prononcé une amende de 100 000 euros à l’encontre d’un opérateur de télécommunications belge (dont le nom n’est pas publié) pour ne pas avoir répondu à une demande d’exercice des droits dans les temps, ou, plutôt, pour n’avoir obtenu une réponse qu’après que 14 mois se soient écoulés.

Il s’agissait au départ d’une demande d’information : n’ayant pas trouvé l’adresse du DPO concerné, celle-ci a adressé une demande en ce sens dans le chat Facebook Messenger de l’opérateur, mais l’employé de l’opérateur n’a pas su lui fournir ladite adresse.  L’employé s’étant tout de même proposé pour traiter la demande, le particulier a poursuivi sa démarche et a exercé son droit d’accès en demandant qui, parmi les employés de l’opérateur a accédé à ses données personnelles.  L’employé a répondu ne pas avoir la possibilité de le savoir, et que la demande se situe « au-delà de [son] champs d’intervention ».

Finalement, en l’absence de réponse et après les délais écoulés, le particulier a déposé une plainte auprès de l’APD qui l’a estimée recevable. Une enquête a été ouverte, à la suite de laquelle l’autorité a conclu « que la défenderesse n’a pas facilité l’exercice des droits de la personne concernée conformément à l’article 12.2 du RGPD en ce que bien qu’il existait un canal de communication électronique, elle n’a pas été en mesure de répondre à la demande du plaignant ou à la rediriger auprès – à titre d’exemple – de son DPO telle qu’elle aurait dû le faire afin de garantir toute l’effectivité de l’article 12.2 du RGPD et donc, de l’article 15 du RGPD exercé par le plaignant« .
Quand bien même la personne a reçu une réponse au cours de la procédure lancée par l’APD, l’autorité « relève que la violation des articles 12.3 et 15 du RGPD est indéniable, en ce que la défenderesse ne conteste pas avoir répondu à la demande d’accès du plaignant avec 14 mois de retard. En ayant répondu à la demande d’accès du plaignant bien au-delà du délai fixé par l’article 12.3 du RGPD, la défenderesse s’est rendue coupable d’une violation continue du droit d’accès du plaignant 14 mois durant. »

Conséquence pour la société ? Une amende de 100 000 euros.

Petit bonus : dans sa décision, l’APD précise que « concernant le canal de communication utilisé lors des échanges entre le plaignant et la défenderesse entre le 25 janvier 2022 et le 13 mars 2022, la Chambre Contentieuse tient à rappeler à titre strictement informatif et sans que cela ne puisse constituer une quelconque prise de position de sa part qui pourrait aboutir à une sanction que la défenderesse doit, en plus de garantir que les réponses accordées aux plaignants via le chat Facebook soient d’une qualité suffisante, s’assurer que ce canal de communication réponde aux exigences de sécurité appropriées telles que définies aux articles 5.1.f), 24, 25 et 32 du RGPD. »

Disponible (en anglais) sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu