Dernières actualités : données personnelles

La Quadrature du Net

L’algorithme de notation de la CNAF attaqué devant le Conseil d’État par 15 organisations

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

La Quadrature précise que cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisés dans leurs parcours de vie.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

DPA (autorité grecque)

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

IMY (autorité suédoise)

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Doctolib : L’IA transforme le secteur de la santé, mais à quel prix ?

Doctolib : L'IA transforme le secteur de la santé, mais à quel prix ?

Par Haas Avocats

L’intelligence artificielle (IA) est en train de redéfinir le secteur de la santé, en apportant des solutions novatrices qui améliorent la qualité des soins et la relation entre les patients et les professionnels de santé. Doctolib, à la pointe de cette révolution, développe des outils IA prometteurs qui pourraient redéfinir la pratique médicale.

Disponible sur: haas-avocats.com

Retour en haut