Dernières actualités : données personnelles

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

UODO (autorité polonaise)

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

GPDP (autorité italienne)

L’autorité italienne sanctionne condamne une municipalité réalisant de la vidéosurveillance illégalement à une amende de 3 000 euros

Ce 11 avril 2024, faisant suite au signalement d’un employé qui se plaignait de l’installation d’une caméra vidéo dans le hall de la municipalité, à proximité des appareils de présence des travailleurs, l’autorité a condamné une municipalité [qui n’est pas nommée] à une amende de 3 000 euros pour traitement illégal de données à caractère personnel. Dans sa newsletter du 21 mai, l’autorité réaffirme que « l’installation d’« yeux électroniques » sur les lieux de travail doit respecter les obligations prévues par le statut des travailleurs et les garanties offertes aux employés par la législation sur la protection de la vie privée ».

Dans cette affaire, par l’utilisation des images enregistrées, l’administration avait précédemment accusé l’employé de ne pas avoir respecté ses horaires de travail, ce qui a engendré la plainte. En réponse à la demande d’explication de l’autorité, la municipalité a répondu que la caméra avait été installée pour des raisons de sécurité, suite à des agressions contre un conseiller municipal et un travailleur social. Au cours de l’enquête, le contrôleur a constaté que la municipalité n’avait toutefois pas veillé au respect des procédures de garantie prévues par le règlement sectoriel sur les contrôles à distance et qu’elle avait également utilisé les images de vidéosurveillance pour adopter une mesure disciplinaire à l’encontre de l’employé.

L’autorité a donc sanctionné l’administration et lui a ordonné de fournir à toutes les personnes concernées (travailleurs et visiteurs des locaux municipaux) des informations adéquates sur les données à caractère personnel traitées grâce à l’utilisation de la caméra vidéo en question. En effet, la municipalité n’avait pas fourni toutes les informations requises par le règlement européen et d’autres documents établis par le propriétaire à des fins différentes ne pouvaient pas être considérés comme adéquats.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-178/22

Le juge chargé d’autoriser l’accès à des relevés téléphoniques pour identifier les auteurs d’une infraction, pour la poursuite de laquelle la loi nationale prévoit un tel accès, doit être habilité à refuser ou à restreindre cet accès 

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE a jugé que selon la loi italienne, le délit de vol aggravé fait partie des infractions justifiant l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge. Elle estime que  l’ingérence dans ces droits fondamentaux causée par l’accès à des relevés téléphoniques est susceptible d’être qualifiée de grave et confirme qu’un tel accès ne peut être accordé qu’aux données de personnes soupçonnées d’être impliquées dans une infraction grave.

La Cour précise qu’il incombe aux États membres de définir les « infractions graves » aux fins de l’application de la directive en question. La législation pénale relève en effet de la compétence des États membres pour autant que l’Union n’ait pas légiféré en la matière. Elle précise également que les États membres ne sauraient dénaturer cette notion et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales de l’État membre concerné, alors même que le législateur de cet État membre a prévu de les punir d’une peine de réclusion maximale d’au moins trois ans.

Enfin, la Cour estime qu’afin, notamment, de vérifier l’absence d’une dénaturation de la notion de « criminalité grave », il est néanmoins essentiel que, lorsque l’accès aux données conservées comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée, cet accès soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Ainsi, le juge chargé d’autoriser cet accès doit être habilité à refuser ou à restreindre ledit accès lorsqu’il constate que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ledit accès est grave alors qu’il est manifeste que l’infraction en cause n’est pas grave au regard des conditions sociétales prévalant dans l’État membre concerné.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut