Dernières actualités : données personnelles

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

ICO (autorité anglaise)

L’ICO publie sa décision concernant le chatbot « My AI » de Snap

L’ICO l’a annoncé il y a quelques semaines, c’est désormais chose faite : l’autorité a publié sa décision concernant le chatbot « My AI » de Snap. Après avoir analysé les différentes caractéristiques du traitement (nature du traitement, contexte, respect des principes, etc.), et conformément à la déclaration faite il y a quelques semaines l’autorité conclut sa décision en indiquant que « Snap a effectué une DPIA révisée qui est conforme aux exigences de l’article 35 du GDPR britannique. Par conséquent, il n’y a aucune raison pour que le commissaire émette un avis d’exécution qui exige que Snap prenne, ou s’abstienne de prendre, des mesures spécifiques afin de mettre ses opérations de traitement en conformité avec l’article 35 du GDPR britannique. En outre, après avoir examiné les observations de Snap, y compris une déclaration de témoin accompagnée d’une déclaration de vérité d’un cadre supérieur de Snap, le commissaire a conclu que Snap n’a pas enfreint l’article 36, paragraphe 1, du GDPR du Royaume-Uni en omettant de consulter le commissaire avant de commencer le traitement des données à caractère personnel en rapport avec My AI. »

[Ajout contextuel Portail RGPD: Pour rappel, l’enquête avait été lancée lorsque l’ICO a constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Covid : L’autorité italienne ouvre une enquête sur l’interdiction, par une autorité sanitaire locale, de recruter des stagiaires non vaccinés

Ce 12 juin 2024, à l’occasion d’un communiqué de presse, l’autorité italienne a annoncé avoir ouvert une enquête afin de faire suite à l’information selon laquelle certains stagiaires se sont vus refuser l’accès à l’hôpital parce qu’ils n’avaient pas reçu la quatrième dose du vaccin anti-Covid.  Selon un article de presse, les étudiants du cours d’infirmière de l’université de Salento qui n’ont pas reçu la quatrième dose de vaccin Sars-Cov-2 n’auraient pas pu effectuer leur stage obligatoire à l’hôpital.  Toujours dans la presse, l’autorité sanitaire locale de Lecce aurait justifié ce refus en se fondant sur une loi régionale réglementant la vaccination obligatoire des travailleurs de la santé.

L’autorité italienne demande ainsi des comptes à l’autorité sanitaire locale, lui donnant 15 jours pour informer la Garante des finalités et de la base légale du traitement. En effet, depuis le 1er novembre 2022, l’obligation de vaccination Covid n’est plus requise en Italie pour les professionnels de la santé et les travailleurs de la santé.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

PSNI risque une amende de 750 000 livres sterling à la suite d’une erreur de tableur qui a exposé les informations personnelles de l’ensemble de son personnel.

L’ICO a annoncé son intention d’infliger une amende de 750 000 livres sterling au Service de police d’Irlande du Nord (PSNI) pour n’avoir pas protégé les informations personnelles de l’ensemble de son personnel.
L’amende proposée est liée à un incident au cours duquel des informations personnelles – y compris le nom de famille, les initiales, le grade et le rôle de l’ensemble des 9 483 officiers et employés du PSNI – ont été incluses dans un onglet « caché » d’une feuille de calcul publiée en ligne en réponse à une demande d’accès à l’information. L’enquête menée par l’ICO a révélé que les procédures internes et les protocoles d’approbation du PSNI pour la divulgation sécurisée d’informations étaient inadéquats.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne sanctionne condamne une municipalité réalisant de la vidéosurveillance illégalement à une amende de 3 000 euros

Ce 11 avril 2024, faisant suite au signalement d’un employé qui se plaignait de l’installation d’une caméra vidéo dans le hall de la municipalité, à proximité des appareils de présence des travailleurs, l’autorité a condamné une municipalité [qui n’est pas nommée] à une amende de 3 000 euros pour traitement illégal de données à caractère personnel. Dans sa newsletter du 21 mai, l’autorité réaffirme que « l’installation d’« yeux électroniques » sur les lieux de travail doit respecter les obligations prévues par le statut des travailleurs et les garanties offertes aux employés par la législation sur la protection de la vie privée ».

Dans cette affaire, par l’utilisation des images enregistrées, l’administration avait précédemment accusé l’employé de ne pas avoir respecté ses horaires de travail, ce qui a engendré la plainte. En réponse à la demande d’explication de l’autorité, la municipalité a répondu que la caméra avait été installée pour des raisons de sécurité, suite à des agressions contre un conseiller municipal et un travailleur social. Au cours de l’enquête, le contrôleur a constaté que la municipalité n’avait toutefois pas veillé au respect des procédures de garantie prévues par le règlement sectoriel sur les contrôles à distance et qu’elle avait également utilisé les images de vidéosurveillance pour adopter une mesure disciplinaire à l’encontre de l’employé.

L’autorité a donc sanctionné l’administration et lui a ordonné de fournir à toutes les personnes concernées (travailleurs et visiteurs des locaux municipaux) des informations adéquates sur les données à caractère personnel traitées grâce à l’utilisation de la caméra vidéo en question. En effet, la municipalité n’avait pas fourni toutes les informations requises par le règlement européen et d’autres documents établis par le propriétaire à des fins différentes ne pouvaient pas être considérés comme adéquats.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

 Violations d’informations sensibles récurrentes concernant des personnes vivant avec le VIH

Les personnes vivant avec le VIH sont privées de leur « dignité fondamentale et de leur vie privée » en raison des violations répétées de données qui révèlent leur statut sérologique, en raison de qui l »ICO appelle à des « améliorations urgentes » dans tout le Royaume-Uni.
Le régulateur travaille avec les organisations caritatives de lutte contre le VIH afin d’améliorer le soutien offert aux personnes vivant avec le VIH sur la manière dont leurs informations sensibles sont traitées. Le commissaire, John Edwards, a condamné les normes de protection des données dans les services de santé destinés aux personnes vivant avec le VIH et a appelé à des améliorations urgentes. Cette déclaration fait suite à plusieurs violations de données, ainsi qu’aux préoccupations exprimées par certaines des plus grandes organisations de lutte contre le VIH du pays.

Au cours de l’année 2022/3, le secteur de la santé a représenté plus d’un cinquième de toutes les violations de données personnelles, ce qui en fait la source la plus fréquente de signalements à l’ICO.
La déclaration d’aujourd’hui fait suite à une autre amende infligée par l’Information Commissioner’s Office (ICO) à un prestataire de services liés au VIH. L’ICO a infligé une amende de 7 500 livres sterling à la Central Young Men’s Christian Association (Central YMCA) de Londres pour une violation de données dans le cadre de laquelle des courriels destinés à des personnes participant à un programme de soutien aux séropositifs ont été envoyés à 264 adresses électroniques en utilisant la fonction CC au lieu de la fonction BCC, révélant ainsi les adresses électroniques à tous les destinataires. 166 personnes ont ainsi été identifiées ou potentiellement identifiables. L’association Central YMCA s’est acquittée de l’intégralité de l’amende.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Le 31 janvier 2024, à la suite d’une enquête concernant une plainte reçue contre Airbnb Ireland UC (Airbnb), la Commission de la protection des données irlandaise (la CPD ou DPC en anglais) a adopté une décision qu’elle vient de publier sur son site.

La DPC avait ouvert cette enquête le 8 décembre 2022, à la suite d’une plainte selon laquelle Airbnb avait illégalement demandé une copie de la pièce d’identité du plaignant afin de vérifier son identité et d’effectuer une demande d’effacement lorsqu’il avait décidé de mettre fin à la procédure de création de compte. A la suite de cette enquête, qui a notamment pris du temps au regard du caractère transfrontalier du traitement (ce qui entraine l’activation de mécanismes de coopération entre autorités), la DPC a estimé qu’Airbnb n’avait pas valablement fondé le traitement des données d’identification du plaignant. En outre, la DPC a estimé que dans la situation particulière qui s’est présentée dans le cas de ce plaignant, l’exigence d’Airbnb que le plaignant vérifie son identité en soumettant une copie de sa pièce d’identité afin de faire une demande d’effacement constituait une violation du principe de minimisation des données, conformément à l’article 5, paragraphe 1, point c), du GDPR.

[Ajout contextuel Portail RGPD: La DPC a, dans cette affaire, été clémente, puisqu’Airbnb n’a écopé que d’une simple réprimande, justifiée par le fait qu’il a rapidement été mis fin à cette pratique. Il est notable qu’il s’agit de la 7è décision en la matière à l’encontre d’Airbnb publiée sur le site de la DPC, montrant que cette pratique a été mise en œuvre (au moins) entre Mars 2021 et Décembre 2022, dates entre lesquelles les plaintes ont été transmises à la DPC – alors mêmes que la  V1 des lignes directrices sur le droit d’accès du CEPD écartaient la pratique dès janvier 2022 dans une version certes non définitive ouverte à consultation publique, notamment en ce qu’elle ne permettait pas un niveau d’authentification satisfaisant dans un contexte numérique (cf. points 73 et suivants).]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

La CNIL italienne adresse un avertissement à la Worldcoin Foundation avant même qu’elle ne commence le déploiement de son traitement de données biométriques via ses ORB en Italie

Alors que la société Worldcoin, dont le traitement consiste à enregistrer l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie du même nom, a d’ores et déjà fait l’objet d’une interdiction en Espagne et au Portugal quelques semaines plus tard – celle-ci poursuit son déploiement petit à petit, la CNIL italienne a décidé de prendre les devants en avertissant la société qu’il s’agirait probablement d’un traitement contraire au RGPD :

« Conformément à l’article 58, paragraphe 2, point a), du règlement et à l’article 154, paragraphe 1, point f), du code, avertit la Worldcoin Foundation, dont le siège social est situé Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Îles Caïmans, en sa qualité de responsable du traitement des données à caractère personnel, que le traitement des données biométriques qui sera effectué en Italie, par l’intermédiaire des ORB et de la manière décrite ci-dessus, est susceptible d’enfreindre les dispositions du règlement« .

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

L’autorité de protection des données belge sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence

L’APD a imposé [le 16 janvier] à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.

[Ajout contextuel Portail RGPD: Au point 109 (lu via une traduction), l’APD belge indique que la « conformité avec le principe d’exactitude des données ne saurait justifier une collecte non restreinte des données personnelles, l’objectif principal de la collecte étant de créer une base de données aussi complète et précise que possible. Dès lors, la nécessité de traiter et d’enrichir les données dans les bases de données pour la conformité avec le principe d’exactitude n’a pas été démontré ». Ainsi, le principe d’exactitude trouve sa limite dès lors que son application nécessiterait une collecte de données trop importante. ]

Disponible sur: autoriteprotectiondonnees.be. La décision complète (en néerlandais) est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut