Tests génétiques sur Internet : la CNIL appelle à la vigilance
Les tests génétiques vendus en kit sur Internet, notamment à visée généalogique, connaissent un fort succès. Qualifiés de « récréatifs », leur utilisation comporte pourtant des risques liés à la fiabilité des résultats et à l’absence de transparence sur l’utilisation des données personnelles sensibles recueillies.
Disponible sur: CNIL.fr
Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU
Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.
Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).
Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.
Disponible sur: CNIL.fr
La CNIL sanctionne la société Foriou pour des faits de démarchage commercial en l’absence de base légale
Par une décision n°SAN-2024-003 du 31 janvier 2024, la formation restreinte de la CNIL a condamné la société de gestion de programmes et de cartes de fidélité Foriou à une amende de 310 000€ pour défaut de base légale concernant le traitement de données réalisés avec des données acquises auprès de tiers. Il y a toutefois plusieurs points intéressants :
* Ce défaut de base légale reproché à la société Foriou est en partie la conséquence de manquements de la société auprès de laquelle elle se fournissait en données : la collecte initiale ne permettait pas la réutilisation des données par la société Foriou à des fins de prospection commerciale, les fournisseurs n’ayant pas respecté leurs engagements contractuels. Ainsi, seul le consentement obtenu par la société Foriou était en capacité de « sauver » le traitement (et n’a pas été demandé en l’espèce).
* La société Foriou n’ayant « pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder [à des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données,] les deux bases légales susceptibles d’être applicables en l’espèce ont été examinées successivement par la Commission. » Il est ainsi notable que la CNIL n’a pas décidé de sanctionner l’incapacité de la société à justifier de la base légale fondant le traitement, mais la véritable absence de base légale pour le traitement de prospection commerciale.
Dans cette affaire, les deux bases légales examinées sont l’intérêt légitime ainsi que le consentement.
S’agissant de l’intérêt légitime : Pour déterminer si cette base légale est valablement utilisable par la société FORIOU, la Commission observe les pratiques réalisées par les fournisseurs des données. En l’espèce, « la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société. » Aussi, » s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU. » Enfin, « concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste. »
En conséquence, la formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.
S’agissant du consentement : Une fois encore, la Commission observe les pratiques réalisées par les fournisseurs des données. Par exemple: « il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. «
Le fait que le destinataire de données soit tenu responsable de manquements directement imputables au primo-collectant est, à notre connaissance, une première en France. C’est néanmoins une solution logique dès lors que les données sont collectées par un tiers qui est en charge de fonder légalement le traitement ultérieur de prospection commerciale. Lorsqu’une société de prospection compte s’appuyer sur la base légale de la collecte initiale, s’il est non seulement nécessaire qu’elle encadre contractuellement les relations avec son fournisseur de manière convenable, il est également important qu’elle contrôle le régulièrement pour vérifier ses pratiques.
Disponible sur: legifrance.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.
L’impact économique du RGPD, 5 ans après
Cinq ans après l’entrée en application du RGPD, la littérature économique s’est penchée sur son impact économique sur les entreprises. La plupart de ces études se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes.
Disponible sur: CNIL.fr
« L’alliance entre @MistralAI et @Microsoft met fin à l’illusion de l’indépendance technologique européenne. »
Selon le média, « alors qu’il défendait mordicus l’open source comme valeur cardinale pour s’imposer face aux géants américains, le champion français de l’intelligence artificielle, Mistral AI, a développé son plus puissant modèle de langage de manière fermée, et a conclu un partenariat pour l’heure exclusif avec Microsoft pour sa distribution, laissant même l’Américain entrer symboliquement à son capital. Si ce virage stratégique aux allures de séisme fait sens d’un point de vue économique et bénéficie du soutien de la France, il rend furieux à Bruxelles et parmi les défenseurs de l’IA européenne. Par ricochet, l’entrée de Mistral, comme OpenAI avant lui, dans le giron du géant Microsoft, est une claque pour la souveraineté numérique européenne, et acte la position déjà dominante des Américains dans la course à l’intelligence artificielle ».
Cette annonce aurait provoqué un tollé à la Commission européenne. « Les législateurs ont été pris par surprise lundi, lorsque Microsoft a annoncé qu’elle avait investi 15 millions d’euros (16 millions de dollars) dans la société Mistral, basée à Paris, et qu’elle mettrait bientôt les modèles d’IA de la société à disposition » via sa plateforme Azure, explique l’agence de presse Reuters. En particulier, les députés européens dénoncent « le double jeu joué par Mistral durant les discussions sur l’AI Act », qui se présentait comme « un champion européen à protéger ».
Disponible sur: latribune.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.
Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.
Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.
Selon le communiqué de presse, « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »
En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne. » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).
Disponible sur: courdecassation.fr La décision complète est également disponible.
Conseil d’Etat : La protection des données personnelles à l’épreuve du fichage des intervenants audiovisuels
Par Haas Avocats
Saisi par Reporter Sans Frontières, le Conseil d’Etat a rendu, le 13 février 2024, une décision qualifiée « d’historique » en matière de communication audiovisuelle1.
Disponible sur: haas-avocats.com
Le CLOUD fiché par la CNIL !
Par Haas Avocats
La CNIL publie deux fiches pour éclairer les acteurs ayant recours au CLOUD et notamment au chiffrement et l’utilisation d’outils de sécurité et de performance.
Disponible sur: haas-avocats.com
L’autorité de protection des données belge sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence
L’APD a imposé [le 16 janvier] à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.
[Ajout contextuel Portail RGPD: Au point 109 (lu via une traduction), l’APD belge indique que la « conformité avec le principe d’exactitude des données ne saurait justifier une collecte non restreinte des données personnelles, l’objectif principal de la collecte étant de créer une base de données aussi complète et précise que possible. Dès lors, la nécessité de traiter et d’enrichir les données dans les bases de données pour la conformité avec le principe d’exactitude n’a pas été démontré ». Ainsi, le principe d’exactitude trouve sa limite dès lors que son application nécessiterait une collecte de données trop importante. ]
Disponible sur: autoriteprotectiondonnees.be. La décision complète (en néerlandais) est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.
