Dernières actualités : données personnelles

APD (autorité belge)

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

 Le « règlement » de l’autorité belge de protection des données s’est transformé en ordre juridique sur les bannières de cookies trompeuses

À la suite de plusieurs plaintes déposées par NOYB en 2023, l’autorité belge de protection des données a ordonné à quatre grands sites d’information belges de mettre leurs bannières de cookies en conformité avec le GDPR. Plus précisément, De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen doivent ajouter un bouton « rejeter » à la première couche de leurs bannières de cookies. En outre, les sites d’information ont reçu l’ordre de modifier le schéma de couleurs des boutons utilisés, qui est actuellement trompeur. Si le responsable du traitement (Mediahuis) ne se conforme pas à cette obligation, il s’expose à une amende de 50 000 euros par jour et par site web.

Two people exchaning a cookie for money

Disponible sur: noyb.eu

APD (autorité belge)

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut