Dernières actualités : données personnelles

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

GPDP (autorité italienne)

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

APD (autorité belge)

Belgique : l’APD estime que les pratiques de NOYB en matière de plainte et de représentation constituent un abus de droit

A l’occasion d’une décision rendue le 6 septembre, l’APD a rejetté une affaire … en raison, notamment, d’un abus de droit qui aurait été commis par NOYB.
Cette affaire commence avec une plainte réalisée par NOYB (au moyen d’un mandat) concernant le suivi présumé du plaignant par l’éditeur d’un site web (flair.be). Au cours de ce processus, un code HTML (pour l’outil Google Analytics) aurait été intégré via le site web du premier défendeur, qui pourrait être lié au compte du plaignant auprès du deuxième défendeur. Le plaignant affirme que les données à caractère personnel correspondantes ont été transférées illégalement aux États-Unis d’Amérique dans ce contexte.

L’Inspection (dont l’autorité note qu’il s’agit d’un corps indépendant de la Chambre des Litiges) décide de se pencher sur la légalité du mandat et du modèle d’action de NOYB. Le rapport d’enquête note ainsi « que les demandes traitées par NOYB qui ont été soumises à l’APD en août 2020 ont utilisé une méthode semi-automatique d’envoi “en masse”, mais également que les différentes demandes d’enquête soumises en août 2020 avaient le même format et la même signature. Des documents supplémentaires ont été envoyés à plusieurs reprises dans un courriel lié […] Pour les différentes demandes, la même personne concernée revient sans cesse et a donné un mandat à NOYB […]. L’autorité note également que le contenu du mandat montre également que NOYB n’a pas été correctement mandaté  car plusieurs éléments du mandat n’étaient pas détaillés, ou formulés de manière peu claire ou ambiguë. En outre, le plaignant était en réalité un stagiaire de NOYB au moment où le mandat a été donné.  Enfin, le rapport estime qu’en raison du manque de transparence concernant le modus operandi de NOYB, la perception est donc créée au moins que NOYB utilise ses employés pour servir ses intérêts soumettant des demandes/plaintes plutôt que […] l’intérêt personnel d’un plaignant.  En outre, l’enquête  confirme l’indication selon laquelle il s’agit d’un usage abusif de la procédure en vertu de l’article 80 du RGPD. L’Inspection note que les stagiaires pour les demandes susmentionnées en 2021 ont été systématiquement répertoriés comme « plaignants » dans les activités de NOYB. Cela est l’indice d’un conflit d’intérêts. »

La Chambre des Litiges (dont le rôle est de décider des suites à donner) décide d’analyser la situation, et rejette finalement la plainte pour les raisons suivantes :

1 – Le fait que la plainte ait été déposée sur la base d’un « cas modèle » préétabli par NOYB crée un intérêt artificiel (à agir) et constitue un abus de droit : l’artificialité de la construction est prouvée, selon la Chambre, puisque l’identité des sous-traitants et les griefs soulevés n’ont pas été identifiés par le plaignant en question (mais à l’avance par le représentant), et par les brèves visites du site web par le plaignant en question, observées par l’Inspection et indiquées par les deux défendeurs dans leurs défenses. Le représentant déclare publiquement que cette plainte s’inscrit dans le cadre d’un projet général relatif aux transferts de données.40 Il a été déclaré lors de l’audition que les stagiaires peuvent « devenir » une personne concernée sans aucune obligation.

2 – Un mandat fictif en invoquant des griefs et un contrôleur préétablis dans le cadre d’un stage : les griefs sont préétablis au nom du plaignant, de la même manière que le modus operandi avec les mandats en vertu de l’article 80, paragraphe 1, du GDPR est préétabli. En outre, l’identité du responsable du traitement sollicité est également établie par le représentant avant que le plaignant n’accepte le « cas modèle » et n’accorde un mandat à cet égard.

3 – Une construction artificielle visant à soulever des questions générales et accessoires pour les objectifs politiques d’une association : comme le note à juste titre l’Inspection à cet égard, il existe un conflit d’intérêts potentiel, ou du moins des intérêts différents, en l’occurrence. Dans le cadre d’un mandat de représentation, le représentant doit privilégier les intérêts du plaignant et ne pas poursuivre ses propres objectifs politiques.

Disponible (en anglais) sur : autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

CNIL : la sanction simplifiée fait toujours son effet

CNIL : la sanction simplifiée fait toujours son effet

Depuis le mois de mars dernier, 9 nouvelles sanctions ont été infligées par la CNIL dans le cadre de la procédure simplifiée pour un montant total de 83 000 €. Pour rappel, cette procédure a été instituée par la réforme du 24 janvier 2022 et permet à la CNIL d’orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction dite simplifiée compte tenu de l’allègement de ses modalités de mise en œuvre comparativement à la procédure ordinaire.

Les sanctions prononcées au terme de cette procédure ne peuvent excéder 20 000€ et le cas échéant, les astreintes associées aux injonctions éventuellement prononcées sont limitées à 100 € par jour de retard.

Par Haas Avocats

Disponible sur: haas-avocats.com

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Législatives 2024 : le bilan de l’observatoire des élections de la CNIL

Malgré une campagne électorale éclair, la CNIL a enregistré 270 signalements pour le premier tour, à l’issue duquel 8 candidats ont concentré 37 % des signalements, et 192 sollicitations pour le second tour, au cours duquel 8 autres candidats en ont représenté 52 %. La tendance du recours au SMS comme canal de prospection privilégié des partis politiques et des candidats se confirme, distançant largement les modes de prospection traditionnels :

* SMS : 268 signalements (59 %)
* Courriel : 77 signalements (17 %)
* Courrier : 74 signalements (16 %)
* Appel téléphonique : 11 signalements (3 %)
* Autre : 21 signalements (5 %)

Disponible sur: CNIL.fr

GPDP (autorité italienne)

 Italie : Plus de 6 millions d’euros d’amendes à payer par le fournisseur d’énergie Eni Plenitude pour des pratiques de prospection non conformes

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction du fournisseur d’énergie Eni Plenitude, qui a été condamné à une amende de près de 6,5 millions d’euros le 6 juin 2024.  Selon elle, cette mesure fait suite à 108 signalements et 7 plaintes contre la société, de personnes qui se plaignaient de recevoir des appels téléphoniques non désirés. Au cours de l’enquête ouverte en réponse à ces signalements et plaintes, l’autorité indique avoir demandé à Eni Plenitude les données relatives aux propositions d’achat faites par le réseau de vente et conclues avec l’activation de services énergétiques, concernant une « semaine échantillon ». Résultat: sur 747 contrats conclus dans la période identifiée, 657 provenaient d’un contact illégitime. Des chiffres qui, s’ils étaient hypothétiquement projetés sur une année, conduiraient à 32 850 fournitures activées de manière illicite. Ces chiffres expliquet aisément pourquoi ces pratiques continuent quand bien même elles sont constamment dénoncées et régulièrement sanctionnées.

Toujours selon l’autorité, les lacunes concernant le contrôle et la surveillance des agences et sous-agences et le mélange des bases de données sont particulièrement graves. Selon la Garante, pour se conformer à la règle, il ne suffit pas de supprimer l’agent individuel ou d’effectuer des audits en cas d’anomalies, mais des mesures sont nécessaires pour empêcher que des contrats conclus sur la base de contacts téléphoniques illicites ou pour tirer un avantage économique d’un comportement illicite ne pénètrent dans les systèmes de l’entreprise.

Outre le paiement de la sanction, fait suffisamment rare pour le mettre en valeur, la Garante a imposé à Eni Plenitude l’interdiction de tout traitement ultérieur des données des plaignants et des dénonciateurs. L’entreprise devra également informer les 657 personnes contactées illégalement de l’issue de la procédure sur la base d’un texte à convenir avec l’Autorité, mettre en place des contrôles pour s’assurer que les contrats générés par les contacts illégaux n’entrent pas dans les actifs de l’entreprise, et garantir le respect des principes du traitement des données, avec une référence particulière aux obligations de mise à jour, d’effacement et de rectification des données personnelles relatives aux clients.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut