Dernières actualités : données personnelles

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

DPA (autorité grecque)

L’autorité prononce une ordonnance de mise en conformité pour l’installation illégale d’un système de vidéosurveillance dans une maison

Dans un communiqué de la semaine dernière et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant l’installation d’un système de vidéosurveillance dans une maison en train de surveiller des espaces non privés. En l’occurrence, le plaignant faisait valoir que 2 des 8 caméras installées par ses voisins capturaient en continu des images de son balcon et de sa terrasse, ainsi que la voie publique. Le plaignant a exprimé son opposition au système de vidéosurveillance via un e-mail daté du 24 mars 2023, demandant des informations sur le dispositif ainsi que la restitution des enregistrements le concernant. Il a également accusé ses voisins d’avoir utilisé des captures vidéo et des photos le montrant dans des litiges judiciaires les opposant.

L’enquête menée par l’autorité grecque a confirmé les faits reprochés aux voisins, qui ont tenté de les justifier par les éléments suivants:
* L’installation est nécessaire du fait d’antécédents de cambriolage.
* Les intérêts du voisin priment sur les droits du plaignant.

Néanmoins, ces arguments n’ont pas convaincu l’autorité qui a jugé que les personnes concernées maintenaient le système de vidéosurveillance installé en violation des dispositions du RGPD et a ordonné l’arrêt de l’utilisation des caméras qui surveillent la voie publique et la maison du plaignant dans un délai de 15 jours. Elle a également demandé aux voisins de fournir la preuve de l’exécution de cette décision. Si les voisins souhaitent réactiver les caméras, ils doivent limiter la zone surveillée à ce qui est strictement nécessaire et obtenir une autorisation préalable en prouvant la légalité du système.
En revanche, pas d’amende pour cette fois !

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les organisations informent insuffisamment les victimes de violations de données, l’AP donne des conseils.

Les personnes victimes d’une violation de données reçoivent souvent des informations insuffisantes de la part de l’organisation concernée. Cela fait que les victimes ne sont pas suffisamment conscientes du risque d’utilisation abusive de leurs données personnelles. Elles ne savent pas non plus ce qu’elles peuvent faire pour réduire les risques, par exemple, de fraude en ligne. C’est ce que met en garde l’Autorité de protection des données (AP) suite à une enquête sur les plus grandes violations de données de 2023.

Plus précisément, l’AP a répertorié plus de 50 des plus grandes violations de données de 2023 dans le cadre de l’enquête. Les données de quelque 10 millions de personnes ont été affectées par ces fuites, qui ont été principalement causées par des cyberattaques. Elle estime que les organisations sont souvent beaucoup trop lentes à envoyer leurs avertissements (plus de 3 semaines en moyenne), que près de la moitié des messages n’indiquent pas clairement ce qui s’est passé et quelles données ont été divulguées, et que plus de la moitié des messages ne sont pas non plus rédigés de manière suffisamment claire. En outre, les courriels d’avertissement manquent parfois d’un titre ou d’une introduction alarmants, avec le risque que le destinataire ne lise même pas le message.

Au cours de l’enquête, les organisations elles-mêmes ont exprimé des difficultés à réaliser des messages d’alertes satisfaisants. Pour aider les organisations aux Pays-Bas, l’AP propose des exemples concrets de textes pour les messages d’avertissement concernant les violations de données.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

8 ans de GDPR : La carte de fidélité des supermarchés grecs n’est toujours pas conforme

La chaîne de supermarchés grecque Alfa Vita (AB) gère un programme de cartes de fidélité qui permet de collecter les données personnelles des clients. Pourtant, l’entreprise n’est même pas en mesure de respecter les droits de base du GDPR. Lorsque la plaignante a demandé l’accès à ses données, AB a omis la plupart des données personnelles qu’elle traitait. noyb a déposé une plainte auprès de l’autorité grecque de protection des données.

Disponible sur: noyb.eu

APD (autorité belge)

L’APD publie son rapport annuel 2023

En 2023, le Comité de direction de l’APD à nouveau complet a décidé de mettre l’accent sur une collaboration renforcée, non seulement entre les services de l’APD eux-mêmes, mais aussi avec les partenaires extérieurs et autres autorités de protection des données européennes. La mise en œuvre de sa priorité 2023 « cookies » en est un bon exemple. L’EDPB (qui rassemble les APD européennes) a publié en 2023 des travaux et des lignes directrices sur les cookies et autres traceurs. En parallèle de ce volet européen, l’APD met aussi à disposition un outil pratique de conformité pour les responsables du traitement : la checklist cookies, et actualise sa page thématique « cookies ». Ces contenus sont le résultat d’une étroite collaboration entre tous les services de l’APD, de sorte qu’ils cristallisent différentes expertises. Outre ces éléments de sensibilisation, l’APD fait également concrètement appliquer ces règles notamment via le travail de sa Chambre Contentieuse, mais aussi en mettant à jour les bannières cookies de ses propres sites.

Le nombre de dossiers reçus a globalement augmenté lors de l’année 2023, mais c’est surtout la quantité de demandes d’avis qui a connu la hausse la plus marquante de l’année :
* 694 plaintes, contre 604 en 2022 (+15%). L’APD observe également une augmentation des demandes en médiation (214 demandes en 2023 contre 177 en 2022, soit une hausse de 21%). Les sujets principaux des plaintes et demandes en médiation en 2023 étaient le marketing direct, les photos et les caméras ainsi que les télécommunications (entre autres les cookies et médias sociaux).
* 1292 notifications de fuites de données (contre 1426 en 2022, un chiffre en légère baisse de 9%). L’erreur humaine reste en 2023 la cause la plus fréquente de fuites de données notifiées (43% de celles-ci sont dues à une erreur), mais le « hacking, phishing & malware » prend une part de plus en plus significative comme cause des fuites de données en 2023 (c’est la cause de 32 % des fuites en 2023 contre 25% en 2022).
611 demandes d’avis législatifs (contre 321 en 2022), une hausse de 90% notamment due au contexte de fin de législature et à une augmentation des demandes venant d’instances flamandes. Il faut aussi noter le renvoi vers l’APD par le Conseil d’Etat de tout projet de législation ayant un quelconque impact sur un traitement de données, ce qui accroit considérablement la tâche d’examen législatif du Centre de Connaissances.

Disponible sur: autoriteprotectiondonnees.be

L’Usine digitale

Un fournisseur de la ville de Bruxelles visé par une cyberattaque, des données personnelles dérobées

La Ville de Bruxelles a annoncé, le 16 mai, qu’une cyberattaque avait récemment ciblé l’un de ses fournisseurs. Cette intrusion a entraîné une fuite de données personnelles “ayant trait aux données d’identification”, explique la municipalité, dans un communiqué publié sur son site. La capitale belge précise mener une enquête avec le fournisseur, afin de déterminer “les circonstances de cet acte ainsi que l’étendue de la fuite et le type de données concernées”. Elle affirme que l’ensemble des mesures préventives et correctives ont été “entreprises”. Le Centre pour la cybersécurité Belgique, autorité nationale chargée de la cybersécurité, et l’Autorité belge de protection des données (APD) ont été notifiées de cette cyberattaque

Disponible sur: usine-digitale.fr

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut