Dernières actualités : données personnelles

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be