Dernières actualités : données personnelles

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

DPA (autorité grecque)

L’autorité prononce une ordonnance de mise en conformité pour l’installation illégale d’un système de vidéosurveillance dans une maison

Dans un communiqué de la semaine dernière et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant l’installation d’un système de vidéosurveillance dans une maison en train de surveiller des espaces non privés. En l’occurrence, le plaignant faisait valoir que 2 des 8 caméras installées par ses voisins capturaient en continu des images de son balcon et de sa terrasse, ainsi que la voie publique. Le plaignant a exprimé son opposition au système de vidéosurveillance via un e-mail daté du 24 mars 2023, demandant des informations sur le dispositif ainsi que la restitution des enregistrements le concernant. Il a également accusé ses voisins d’avoir utilisé des captures vidéo et des photos le montrant dans des litiges judiciaires les opposant.

L’enquête menée par l’autorité grecque a confirmé les faits reprochés aux voisins, qui ont tenté de les justifier par les éléments suivants:
* L’installation est nécessaire du fait d’antécédents de cambriolage.
* Les intérêts du voisin priment sur les droits du plaignant.

Néanmoins, ces arguments n’ont pas convaincu l’autorité qui a jugé que les personnes concernées maintenaient le système de vidéosurveillance installé en violation des dispositions du RGPD et a ordonné l’arrêt de l’utilisation des caméras qui surveillent la voie publique et la maison du plaignant dans un délai de 15 jours. Elle a également demandé aux voisins de fournir la preuve de l’exécution de cette décision. Si les voisins souhaitent réactiver les caméras, ils doivent limiter la zone surveillée à ce qui est strictement nécessaire et obtenir une autorisation préalable en prouvant la légalité du système.
En revanche, pas d’amende pour cette fois !

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

8 ans de GDPR : La carte de fidélité des supermarchés grecs n’est toujours pas conforme

La chaîne de supermarchés grecque Alfa Vita (AB) gère un programme de cartes de fidélité qui permet de collecter les données personnelles des clients. Pourtant, l’entreprise n’est même pas en mesure de respecter les droits de base du GDPR. Lorsque la plaignante a demandé l’accès à ses données, AB a omis la plupart des données personnelles qu’elle traitait. noyb a déposé une plainte auprès de l’autorité grecque de protection des données.

Disponible sur: noyb.eu

APD (autorité belge)

L’APD publie son rapport annuel 2023

En 2023, le Comité de direction de l’APD à nouveau complet a décidé de mettre l’accent sur une collaboration renforcée, non seulement entre les services de l’APD eux-mêmes, mais aussi avec les partenaires extérieurs et autres autorités de protection des données européennes. La mise en œuvre de sa priorité 2023 « cookies » en est un bon exemple. L’EDPB (qui rassemble les APD européennes) a publié en 2023 des travaux et des lignes directrices sur les cookies et autres traceurs. En parallèle de ce volet européen, l’APD met aussi à disposition un outil pratique de conformité pour les responsables du traitement : la checklist cookies, et actualise sa page thématique « cookies ». Ces contenus sont le résultat d’une étroite collaboration entre tous les services de l’APD, de sorte qu’ils cristallisent différentes expertises. Outre ces éléments de sensibilisation, l’APD fait également concrètement appliquer ces règles notamment via le travail de sa Chambre Contentieuse, mais aussi en mettant à jour les bannières cookies de ses propres sites.

Le nombre de dossiers reçus a globalement augmenté lors de l’année 2023, mais c’est surtout la quantité de demandes d’avis qui a connu la hausse la plus marquante de l’année :
* 694 plaintes, contre 604 en 2022 (+15%). L’APD observe également une augmentation des demandes en médiation (214 demandes en 2023 contre 177 en 2022, soit une hausse de 21%). Les sujets principaux des plaintes et demandes en médiation en 2023 étaient le marketing direct, les photos et les caméras ainsi que les télécommunications (entre autres les cookies et médias sociaux).
* 1292 notifications de fuites de données (contre 1426 en 2022, un chiffre en légère baisse de 9%). L’erreur humaine reste en 2023 la cause la plus fréquente de fuites de données notifiées (43% de celles-ci sont dues à une erreur), mais le « hacking, phishing & malware » prend une part de plus en plus significative comme cause des fuites de données en 2023 (c’est la cause de 32 % des fuites en 2023 contre 25% en 2022).
611 demandes d’avis législatifs (contre 321 en 2022), une hausse de 90% notamment due au contexte de fin de législature et à une augmentation des demandes venant d’instances flamandes. Il faut aussi noter le renvoi vers l’APD par le Conseil d’Etat de tout projet de législation ayant un quelconque impact sur un traitement de données, ce qui accroit considérablement la tâche d’examen législatif du Centre de Connaissances.

Disponible sur: autoriteprotectiondonnees.be

AEPD (autorité espagnole)

Worldcoin s’engage à cesser ses activités en Espagne

En mars dernier, l’Agence espagnole de protection des données (AEPD) a pris une mesure conservatoire ordonnant à la société à l’origine du Worldcoin de cesser la collecte et le traitement de données à caractère personnel qu’elle effectuait en Espagne dans le cadre de son projet Worldcoin.  Entre-temps, les investigations du Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), l’autorité de protection des données de Bavière (Allemagne), où la société a son principal établissement en Europe, progressent et devraient se conclure prochainement par une décision finale basée sur des alignements avec toutes les autorités de contrôle européennes concernées. L’AEPD précise collaborer avec l’autorité bavaroise de protection des données, qui est l’autorité principale en matière de traitement des données, l’AEPD étant l’autorité intéressée, comme le prévoit le GDPR.

Dans ce contexte, l’entreprise a pris l’engagement juridiquement contraignant de ne pas reprendre ses activités en Espagne avant la fin de l’année ou, le cas échéant, jusqu’à ce que la BayLDA adopte une résolution finale concernant le traitement des données effectué par l’entreprise. La société éditrice du Worldcoin a annoncé des changements dans son fonctionnement, tels que l’introduction de contrôles pour vérifier l’âge ou la possibilité d’éliminer le code iris.

[Ajout contextuel Portail RGPD: Pour rappel, Worldcoin est un outil permettant de créer une identité numérique via l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie. Cette technologie a très vite fait l’objet de nombreuses plaintes en Europe, notamment en Espagne et au Portugal où elles ont été interdites, de même qu’en Italie où un avertissement a été adressé à la société avant même qu’elle le déploie sa solution.]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

🔧L’AEPD lance une nouvelle version de son outil Gestiona RGPD

L’Agence espagnole de protection des données (AEPD) a lancé une nouvelle version de Gestiona RGPD, un outil gratuit et accessible par navigateur qui aide à gérer le traitement des données personnelles, à évaluer et à gérer les risques grâce à un catalogue de mesures de protection de la vie privée et, si nécessaire, à réaliser des évaluations d’impact. Gestiona RGPD s’adresse aux responsables du traitement des données et aux sous-traitants, ainsi qu’aux délégués à la protection des données. La nouvelle version élargit le catalogue des mesures de protection de la vie privée applicables (passant de 500 à près de 800) pour atténuer les risques identifiés dans le traitement et comprend des améliorations dans l’édition des rapports finaux, entre autres possibilités. En effet, la sélection des facteurs de risque et des mesures pour les atténuer constitue un vaste point de départ pour les processus d’identification et de gestion des risques qui sont nécessaires pour se conformer à l’approche du risque définie dans le GDPR.

Gestiona RGPD permet de gérer de manière intégrée le registre des activités de traitement d’une organisation, jusqu’à 500 traitements, ainsi que ceux de différentes entités. Il comprend des fonctions permettant d’identifier les facteurs de risque pour les droits et libertés des personnes et de procéder à une première évaluation du risque intrinsèque. Ces fonctions permettent de gérer le risque avec des mesures de protection de la vie privée que l’outil lui-même suggère pour chaque facteur de risque identifié, ainsi que des mesures de gestion des violations de données à caractère personnel et de sécurité, et des mesures organisationnelles et des politiques de protection des données.

Disponible (en espagnol) sur: aepd.es L’outil est également disponible en anglais.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Un fournisseur de la ville de Bruxelles visé par une cyberattaque, des données personnelles dérobées

La Ville de Bruxelles a annoncé, le 16 mai, qu’une cyberattaque avait récemment ciblé l’un de ses fournisseurs. Cette intrusion a entraîné une fuite de données personnelles “ayant trait aux données d’identification”, explique la municipalité, dans un communiqué publié sur son site. La capitale belge précise mener une enquête avec le fournisseur, afin de déterminer “les circonstances de cet acte ainsi que l’étendue de la fuite et le type de données concernées”. Elle affirme que l’ensemble des mesures préventives et correctives ont été “entreprises”. Le Centre pour la cybersécurité Belgique, autorité nationale chargée de la cybersécurité, et l’Autorité belge de protection des données (APD) ont été notifiées de cette cyberattaque

Disponible sur: usine-digitale.fr

Retour en haut