Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des amendes d’un montant de plus de 140 000 euros infligées à deux entreprises pour des campagnes de marketing prédateur

L’ICO a annoncé ce jour avoir infligé des amendes à deux entreprises pour avoir effectué des appels commerciaux illégaux à des personnes enregistrées auprès du Telephone Preference Service (TPS). Ces appels ont ainsi été adressés à des personnes qui avaient explicitement refusé de recevoir des communications commerciales, violant ainsi leur vie privée et causant, dans certains cas, une grande détresse. Il est clairement établi que, dans les deux cas, les personnes âgées et les personnes atteintes de maladies telles que la démence ont été ciblées. Certaines personnes ont fait l’objet d’appels téléphoniques répétés, tentant de les pousser à acheter des garanties pour des produits blancs, tels que des réfrigérateurs et des machines à laver, dont elles n’avaient pas besoin.

En conséquence :

  • WerepairUK Ltd, basée à Tonbridge, a été condamnée à une amende de 80 000 £ (environ 95 000 euros) pour avoir effectué 42 688 appels non sollicités. L’entreprise a fait appel de la décision.
  • Service Box Group Limited, basé à Hove, East Sussex, a été condamné à une amende de 40 000 £ (environ 48 000 euros) pour 5 361 appels.

Andy Curry, responsable des enquêtes à l’Information Commissioner’s Office, a déclaré :  « Nous avons pris des mesures décisives à l’encontre de WerepairUK Ltd et de Service Box Group Limited, deux sociétés qui ont causé une détresse considérable en ciblant des personnes qui courent un risque accru de subir des préjudices. Ces pratiques commerciales prédatrices sont illégales et relèvent d’une profonde exploitation. Nous restons déterminés à protéger le public, en particulier les personnes qui ne sont pas en mesure de se défendre contre de telles tactiques. Ces amendes portent à 1,57 million de livres sterling le montant total des sanctions infligées dans le cadre de cette dernière vague d’action contre le marketing prédateur. Cela reflète notre détermination à faire en sorte que les responsables de ces actions préjudiciables soient tenus pour responsables.

Outre les mesures que nous avons prises, il existe des mesures simples que nous pouvons tous prendre pour nous protéger, ainsi que notre famille et nos amis, contre les pratiques commerciales illégales. L’inscription au TPS est gratuite, rapide et facile ; et si vous êtes inscrit au TPS et que vous recevez encore des appels, veuillez nous en informer via notre outil de signalement en ligne. Nous pourrons alors prendre des mesures pour y mettre fin ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

 Le « règlement » de l’autorité belge de protection des données s’est transformé en ordre juridique sur les bannières de cookies trompeuses

À la suite de plusieurs plaintes déposées par NOYB en 2023, l’autorité belge de protection des données a ordonné à quatre grands sites d’information belges de mettre leurs bannières de cookies en conformité avec le GDPR. Plus précisément, De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen doivent ajouter un bouton « rejeter » à la première couche de leurs bannières de cookies. En outre, les sites d’information ont reçu l’ordre de modifier le schéma de couleurs des boutons utilisés, qui est actuellement trompeur. Si le responsable du traitement (Mediahuis) ne se conforme pas à cette obligation, il s’expose à une amende de 50 000 euros par jour et par site web.

Two people exchaning a cookie for money

Disponible sur: noyb.eu

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Google de ne plus bloquer les cookies tiers dans Chrome

Ce jour, Stephen Bonner, commissaire adjoint à l’ICO, a déclaré :
« Nous sommes déçus que Google ait changé ses plans et n’ait plus l’intention de déprécier les cookies tiers du navigateur Chrome. Depuis le début du projet Sandbox de Google en 2019, nous sommes d’avis que le blocage des cookies tiers serait une mesure positive pour les consommateurs.
Le nouveau plan présenté par Google constitue un changement significatif et nous réfléchirons à cette nouvelle ligne de conduite lorsque davantage de détails seront disponibles. Notre ambition de soutenir la création d’un internet plus respectueux de la vie privée se poursuit. Malgré la décision de Google, nous continuons à encourager le secteur de la publicité numérique à opter pour des solutions plus privées que les cookies de tiers – et à ne pas recourir à des formes de suivi plus opaques. Nous surveillerons la réaction du secteur et envisagerons des mesures réglementaires en cas de non-conformité systémique de toutes les entreprises, y compris Google. »

En effet, la veille, Google a annoncé (dans le plan disponible ci-dessus) que  » les premiers tests effectués par des entreprises de technologie publicitaire, dont Google, ont montré que les API de l’écrin de verdure pouvaient permettre d’atteindre ces résultats. Nous nous attendons à ce que les performances globales de l’utilisation des API Privacy Sandbox s’améliorent au fil du temps, à mesure que l’adoption par le secteur augmentera. Dans le même temps, nous reconnaissons que cette transition nécessite un travail important de la part de nombreux participants et qu’elle aura un impact sur les éditeurs, les annonceurs et toutes les personnes impliquées dans la publicité en ligne.

C’est pourquoi nous proposons une approche actualisée qui renforce le choix de l’utilisateur. Au lieu de supprimer les cookies tiers, nous introduirions une nouvelle expérience dans Chrome qui permettrait aux utilisateurs de faire un choix éclairé qui s’appliquerait à l’ensemble de leur navigation sur le web, et ils seraient en mesure d’ajuster ce choix à tout moment. Nous discutons de cette nouvelle voie avec les régulateurs et nous nous engagerons avec l’industrie au fur et à mesure que nous la mettrons en place. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

APD (autorité belge)

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO inflige des amendes d’un montant total de 340 000 livres sterling à deux entreprises pour avoir effectué des appels commerciaux agressifs et non désirés

L’Information Commissioner’s Office (ICO) a condamné Outsource Strategies Ltd (OSL), basée à Cardiff, à une amende de 240 000 livres sterling et Dr Telemarketing Ltd (DRT), basée à Londres, à une amende de 100 000 livres sterling, après que les sociétés aient passé au total près de 1,43 million d’appels à des personnes inscrites sur le registre britannique des « personnes à ne pas appeler », le Telephone Preference Service (TPS). Les appels, tous effectués entre le 11 février 2021 et le 22 mars 2022, ont donné lieu à 76 plaintes auprès de l’ICO et du TPS. Les personnes qui se sont plaintes ont déclaré que les appelants étaient agressifs et utilisaient des tactiques de vente à haute pression pour les persuader de souscrire à des produits. L’enquête de l’ICO a également révélé que les deux sociétés ciblaient spécifiquement les personnes âgées et vulnérables.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut