Dernières actualités : données personnelles

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

CNIL

Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network

En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.

Cette année, l’audit, dit également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs), composé d’autorités de protection des consommateurs.
La CNIL vous expose sa méthodologie ainsi que les résultats observés dans l’article ci-dessous.

Disponible sur: CNIL.fr

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Marché en ligne et exercice des droits des personnes : sanction de 2.3 millions d’euros à l’encontre de VINTED

Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276  millions d’euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme. VINTED propose une plateforme de marché en ligne communautaire qui permet à ses 50 millions d’utilisateurs actifs mensuels dans le monde de vendre, d’acheter et d’échanger des vêtements et accessoires d’occasion.

Dès 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. Cette thématique a  d’ailleurs fait l’objet d’un article de la CNIL en novembre 2021 qui a annoncé l’ouverture de contrôles. En application des procédures de coopération instaurées par le RGPD, c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie.

L’enquête menée a permis confirmer les faits reprochés à VINTED par les plaignants :
* L’entreprise n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. En particulier, la société ne justifiait pas les raisons de ses refus et refusait des requêtes  « au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD » ;
* L’entreprise n’a pas non plus été en capacité de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
* Enfin, l’entreprise a mis en œuvre le « bannissement furtif » ou « shadow banning » en anglais de manière illicite, notamment sans en informer les utilisateurs.

Le « shadow banning » est une méthode de bannissement très pratiquée par les éditeurs de jeux vidéos en ligne et consistant à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur ne respectant pas les règles de la plateforme sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Dans leurs communiqués, la CNIL et l’autorité lituanienne expriment des positions similaires sur cette pratique.
La CNIL explique ainsi que « bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

[Ajout contextuel Portail RGPD: Bien que les autorités ont été prudentes en ne prononçant pas une interdiction de principe de la pratique du « shadow banning » (qui aurait probablement été retoquée pour excès de pouvoir), il s’agit là d’une décision qui pourrait la remettre en cause de manière générale, dans la mesure où tout son intérêt porte sur le fait que l’utilisateur n’en est pas informé : en effet, son objectif n’est en réalité pas tant d’éviter la commission d’un comportement (ce qui peut effectivement être atteint par le blocage complet), mais plutôt d’éviter que l’utilisateur recrée un compte aussitôt après avoir été bloqué afin de poursuivre son comportement fautif. Dès lors, si une information générale a priori n’est pas considérée comme suffisante par les autorités (ce qui semble être le cas au regard des communiqués), la pratique perdrait une grande partie de son intérêt, ce qui risquerait de pousser les responsables de traitement à traiter beaucoup plus de données afin d’éviter la création de nouveaux comptes.]

Disponible sur: CNIL.fr. L’article de l’autorité lituanienne est également disponible (en anglais).

AEPD (autorité espagnole)

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ».  Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité  « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

La Quadrature du Net dénonce l’essor du contrôle algorithmique chez France Travail

Selon l’association, « France Travail multiplie les expérimentations de profilage algorithmique des chômeurs, visant à évaluer leur honnêteté, attractivité et état de confiance. Cette pratique, partagée avec la CAF, s’inscrit dans un processus de numérisation forcée du service public de l’emploi. La Quadrature estime que l’automatisation via une myriade d’algorithmes contribue à une déshumanisation de l’accompagnement social.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion » […] Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social. »

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit.

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées. Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Ces recommandations sont notamment composées des fiches pratiques suivantes:
* Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?
* Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?

Disponible sur: CNIL.fr

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

Retour en haut