Dernières actualités : données personnelles

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Soir (journal belge)

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les organisations informent insuffisamment les victimes de violations de données, l’AP donne des conseils.

Les personnes victimes d’une violation de données reçoivent souvent des informations insuffisantes de la part de l’organisation concernée. Cela fait que les victimes ne sont pas suffisamment conscientes du risque d’utilisation abusive de leurs données personnelles. Elles ne savent pas non plus ce qu’elles peuvent faire pour réduire les risques, par exemple, de fraude en ligne. C’est ce que met en garde l’Autorité de protection des données (AP) suite à une enquête sur les plus grandes violations de données de 2023.

Plus précisément, l’AP a répertorié plus de 50 des plus grandes violations de données de 2023 dans le cadre de l’enquête. Les données de quelque 10 millions de personnes ont été affectées par ces fuites, qui ont été principalement causées par des cyberattaques. Elle estime que les organisations sont souvent beaucoup trop lentes à envoyer leurs avertissements (plus de 3 semaines en moyenne), que près de la moitié des messages n’indiquent pas clairement ce qui s’est passé et quelles données ont été divulguées, et que plus de la moitié des messages ne sont pas non plus rédigés de manière suffisamment claire. En outre, les courriels d’avertissement manquent parfois d’un titre ou d’une introduction alarmants, avec le risque que le destinataire ne lise même pas le message.

Au cours de l’enquête, les organisations elles-mêmes ont exprimé des difficultés à réaliser des messages d’alertes satisfaisants. Pour aider les organisations aux Pays-Bas, l’AP propose des exemples concrets de textes pour les messages d’avertissement concernant les violations de données.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (via Euractif)

L’autorité irlandaise saisit la justice au sujet du traitement des données pour l’entraînement à l’IA

La Commission irlandaise de protection des données (DPC) a entamé une procédure judiciaire contre la plateforme de médias sociaux X mardi (6 août), selon le site web de la Haute Cour d’Irlande. La plainte porte sur le traitement des données des utilisateurs pour Grok, un modèle d’intelligence artificielle (IA), a rapporté l’Irish Examiner mercredi. Le compte Global Government Affairs de X a indiqué que le rapport était correct dans un message publié le 7 août.

Grok a été développé par xAI, une entreprise fondée par Elon Musk, propriétaire de X, et utilisé comme assistant de recherche pour les comptes premium sur la plateforme de médias sociaux. Entre autres choses, le DPC demande au tribunal d’ordonner à X d’arrêter ou de restreindre le traitement des données des utilisateurs pour former ses systèmes d’IA, a rapporté l’Irish Examiner, qui a également écrit que le DPC prévoyait de renvoyer l’affaire au Conseil européen de la protection des données (EDPB) pour un examen plus approfondi.

L’EPDB a déclaré à Euractiv que le DPC irlandais n’avait pas encore renvoyé l’affaire au conseil de l’UE.

Disponible (en anglais) sur: euractiv.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

L’APD publie son rapport annuel 2023

En 2023, le Comité de direction de l’APD à nouveau complet a décidé de mettre l’accent sur une collaboration renforcée, non seulement entre les services de l’APD eux-mêmes, mais aussi avec les partenaires extérieurs et autres autorités de protection des données européennes. La mise en œuvre de sa priorité 2023 « cookies » en est un bon exemple. L’EDPB (qui rassemble les APD européennes) a publié en 2023 des travaux et des lignes directrices sur les cookies et autres traceurs. En parallèle de ce volet européen, l’APD met aussi à disposition un outil pratique de conformité pour les responsables du traitement : la checklist cookies, et actualise sa page thématique « cookies ». Ces contenus sont le résultat d’une étroite collaboration entre tous les services de l’APD, de sorte qu’ils cristallisent différentes expertises. Outre ces éléments de sensibilisation, l’APD fait également concrètement appliquer ces règles notamment via le travail de sa Chambre Contentieuse, mais aussi en mettant à jour les bannières cookies de ses propres sites.

Le nombre de dossiers reçus a globalement augmenté lors de l’année 2023, mais c’est surtout la quantité de demandes d’avis qui a connu la hausse la plus marquante de l’année :
* 694 plaintes, contre 604 en 2022 (+15%). L’APD observe également une augmentation des demandes en médiation (214 demandes en 2023 contre 177 en 2022, soit une hausse de 21%). Les sujets principaux des plaintes et demandes en médiation en 2023 étaient le marketing direct, les photos et les caméras ainsi que les télécommunications (entre autres les cookies et médias sociaux).
* 1292 notifications de fuites de données (contre 1426 en 2022, un chiffre en légère baisse de 9%). L’erreur humaine reste en 2023 la cause la plus fréquente de fuites de données notifiées (43% de celles-ci sont dues à une erreur), mais le « hacking, phishing & malware » prend une part de plus en plus significative comme cause des fuites de données en 2023 (c’est la cause de 32 % des fuites en 2023 contre 25% en 2022).
611 demandes d’avis législatifs (contre 321 en 2022), une hausse de 90% notamment due au contexte de fin de législature et à une augmentation des demandes venant d’instances flamandes. Il faut aussi noter le renvoi vers l’APD par le Conseil d’Etat de tout projet de législation ayant un quelconque impact sur un traitement de données, ce qui accroit considérablement la tâche d’examen législatif du Centre de Connaissances.

Disponible sur: autoriteprotectiondonnees.be

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

DPC (autorité irlandaise)

La Data Protection Commission (autorité irlandaise) publie son rapport d’activité 2023

D’après l’autorité, les points forts du rapport annuel 2023 sont les suivants :
* 19 décisions finalisées entraînant des amendes administratives d’un montant total de 1,55 milliard d’euros, ainsi que de multiples réprimandes et ordonnances de mise en conformité imposées, y compris :
* L’autorité a reçu 11 200 nouvelles plaintes en 2023, ce qui représente une augmentation de 20 % par rapport à 2022. La DPC a conclu 11 147 affaires en 2023.  Sur celles reçues en 2023, 2 600 ont progressé vers le « processus de traitement des plaintes », 8 600 ayant été traitées relativement rapidement.
* Le nombre total de notifications de violation valides reçues en 2023 était de 6 991, ce qui représente une augmentation de 20 % par rapport à 2022. 92 % des notifications reçues en 2023 ont été conclues avant la fin de l’année.
* La DPC a apporté sa contribution et ses observations sur plus de 37 textes législatifs proposés.
* La DPC a entraîné le report ou la révision de quatre projets de plates-formes internet prévus ayant des implications pour les droits et les libertés des individus.
* Au total, 237 enquêtes sur la prospection directe par voie électronique ont été menées à bien en 2023 et l’autorité a poursuivi quatre entreprises pour l’envoi de communications commerciales non sollicitées sans consentement. La Cour a prononcé des condamnations pour tous les chefs d’accusation et a imposé des amendes d’un montant total de 2 000 euros.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Un fournisseur de la ville de Bruxelles visé par une cyberattaque, des données personnelles dérobées

La Ville de Bruxelles a annoncé, le 16 mai, qu’une cyberattaque avait récemment ciblé l’un de ses fournisseurs. Cette intrusion a entraîné une fuite de données personnelles “ayant trait aux données d’identification”, explique la municipalité, dans un communiqué publié sur son site. La capitale belge précise mener une enquête avec le fournisseur, afin de déterminer “les circonstances de cet acte ainsi que l’étendue de la fuite et le type de données concernées”. Elle affirme que l’ensemble des mesures préventives et correctives ont été “entreprises”. Le Centre pour la cybersécurité Belgique, autorité nationale chargée de la cybersécurité, et l’Autorité belge de protection des données (APD) ont été notifiées de cette cyberattaque

Disponible sur: usine-digitale.fr

Retour en haut