Dernières actualités : données personnelles

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

Belgique : l’APD estime que les pratiques de NOYB en matière de plainte et de représentation constituent un abus de droit

A l’occasion d’une décision rendue le 6 septembre, l’APD a rejetté une affaire … en raison, notamment, d’un abus de droit qui aurait été commis par NOYB.
Cette affaire commence avec une plainte réalisée par NOYB (au moyen d’un mandat) concernant le suivi présumé du plaignant par l’éditeur d’un site web (flair.be). Au cours de ce processus, un code HTML (pour l’outil Google Analytics) aurait été intégré via le site web du premier défendeur, qui pourrait être lié au compte du plaignant auprès du deuxième défendeur. Le plaignant affirme que les données à caractère personnel correspondantes ont été transférées illégalement aux États-Unis d’Amérique dans ce contexte.

L’Inspection (dont l’autorité note qu’il s’agit d’un corps indépendant de la Chambre des Litiges) décide de se pencher sur la légalité du mandat et du modèle d’action de NOYB. Le rapport d’enquête note ainsi « que les demandes traitées par NOYB qui ont été soumises à l’APD en août 2020 ont utilisé une méthode semi-automatique d’envoi “en masse”, mais également que les différentes demandes d’enquête soumises en août 2020 avaient le même format et la même signature. Des documents supplémentaires ont été envoyés à plusieurs reprises dans un courriel lié […] Pour les différentes demandes, la même personne concernée revient sans cesse et a donné un mandat à NOYB […]. L’autorité note également que le contenu du mandat montre également que NOYB n’a pas été correctement mandaté  car plusieurs éléments du mandat n’étaient pas détaillés, ou formulés de manière peu claire ou ambiguë. En outre, le plaignant était en réalité un stagiaire de NOYB au moment où le mandat a été donné.  Enfin, le rapport estime qu’en raison du manque de transparence concernant le modus operandi de NOYB, la perception est donc créée au moins que NOYB utilise ses employés pour servir ses intérêts soumettant des demandes/plaintes plutôt que […] l’intérêt personnel d’un plaignant.  En outre, l’enquête  confirme l’indication selon laquelle il s’agit d’un usage abusif de la procédure en vertu de l’article 80 du RGPD. L’Inspection note que les stagiaires pour les demandes susmentionnées en 2021 ont été systématiquement répertoriés comme « plaignants » dans les activités de NOYB. Cela est l’indice d’un conflit d’intérêts. »

La Chambre des Litiges (dont le rôle est de décider des suites à donner) décide d’analyser la situation, et rejette finalement la plainte pour les raisons suivantes :

1 – Le fait que la plainte ait été déposée sur la base d’un « cas modèle » préétabli par NOYB crée un intérêt artificiel (à agir) et constitue un abus de droit : l’artificialité de la construction est prouvée, selon la Chambre, puisque l’identité des sous-traitants et les griefs soulevés n’ont pas été identifiés par le plaignant en question (mais à l’avance par le représentant), et par les brèves visites du site web par le plaignant en question, observées par l’Inspection et indiquées par les deux défendeurs dans leurs défenses. Le représentant déclare publiquement que cette plainte s’inscrit dans le cadre d’un projet général relatif aux transferts de données.40 Il a été déclaré lors de l’audition que les stagiaires peuvent « devenir » une personne concernée sans aucune obligation.

2 – Un mandat fictif en invoquant des griefs et un contrôleur préétablis dans le cadre d’un stage : les griefs sont préétablis au nom du plaignant, de la même manière que le modus operandi avec les mandats en vertu de l’article 80, paragraphe 1, du GDPR est préétabli. En outre, l’identité du responsable du traitement sollicité est également établie par le représentant avant que le plaignant n’accepte le « cas modèle » et n’accorde un mandat à cet égard.

3 – Une construction artificielle visant à soulever des questions générales et accessoires pour les objectifs politiques d’une association : comme le note à juste titre l’Inspection à cet égard, il existe un conflit d’intérêts potentiel, ou du moins des intérêts différents, en l’occurrence. Dans le cadre d’un mandat de représentation, le représentant doit privilégier les intérêts du plaignant et ne pas poursuivre ses propres objectifs politiques.

Disponible (en anglais) sur : autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’APD prend des mesures à l’encontre de Mediahuis pour l’utilisation illicite de bannières de cookies sur des sites de presse

L’APD a reçu des plaintes d’un citoyen néerlandais, représenté par NOYB pour utilisation illicite de bannières de cookies sur 4 sites de presse de Mediahuis. Le plaignant indique, via son représentant mandaté (NOYB), que les sites de presse ne proposent pas de bouton « Tout refuser » au premier niveau d’information de la bannière de cookies et utilisent des boutons de couleurs trompeuses (“deceptive design patterns” ou « interfaces trompeuses »). Le plaignant signale également qu’il n’est pas très facile de retirer son consentement et que des cookies non strictement nécessaires ne peuvent être placés qu’après le recueil du consentement. L’APD a décidé d’initier une procédure de transaction pour ces plaintes mais la proposition de transaction n’ayant pas été entièrement acceptée, elle a procédé à un examen du dossier sur le fond.

Ayant pu confirmer les faits à la suite d’une enquête, l’APD a ordonné à Mediahuis de procéder aux ajustements nécessaires dans les 45 jours suivant la notification de sa décision en 1) adaptant les bannières de cookies (au niveau du bouton de refus) 2) sans utiliser de couleurs de boutons trompeuses. Si les bannières de cookies ne sont toujours pas conformes à partir du 46e jour qui suit la notification de la décision, pour chaque injonction non respectée, une astreinte de 25.000 EUR par jour et par site de presse non conforme sera infligée. L’APD formule en outre également une réprimande à l’encontre de Mediahuis et souligne que la société ne peut placer et lire des cookies strictement nécessaires que sur la base de l’intérêt légitime.

Disponible sur: autoriteprotectiondonnees.be

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

 100 000 euros d’amende pour l’opérateur ayant mis 14 mois à répondre à une demande d’exercice des droits

Dans une décision publiée le 23 aout 2024, l’autorité de protection des données belge a prononcé une amende de 100 000 euros à l’encontre d’un opérateur de télécommunications belge (dont le nom n’est pas publié) pour ne pas avoir répondu à une demande d’exercice des droits dans les temps, ou, plutôt, pour n’avoir obtenu une réponse qu’après que 14 mois se soient écoulés.

Il s’agissait au départ d’une demande d’information : n’ayant pas trouvé l’adresse du DPO concerné, celle-ci a adressé une demande en ce sens dans le chat Facebook Messenger de l’opérateur, mais l’employé de l’opérateur n’a pas su lui fournir ladite adresse.  L’employé s’étant tout de même proposé pour traiter la demande, le particulier a poursuivi sa démarche et a exercé son droit d’accès en demandant qui, parmi les employés de l’opérateur a accédé à ses données personnelles.  L’employé a répondu ne pas avoir la possibilité de le savoir, et que la demande se situe « au-delà de [son] champs d’intervention ».

Finalement, en l’absence de réponse et après les délais écoulés, le particulier a déposé une plainte auprès de l’APD qui l’a estimée recevable. Une enquête a été ouverte, à la suite de laquelle l’autorité a conclu « que la défenderesse n’a pas facilité l’exercice des droits de la personne concernée conformément à l’article 12.2 du RGPD en ce que bien qu’il existait un canal de communication électronique, elle n’a pas été en mesure de répondre à la demande du plaignant ou à la rediriger auprès – à titre d’exemple – de son DPO telle qu’elle aurait dû le faire afin de garantir toute l’effectivité de l’article 12.2 du RGPD et donc, de l’article 15 du RGPD exercé par le plaignant« .
Quand bien même la personne a reçu une réponse au cours de la procédure lancée par l’APD, l’autorité « relève que la violation des articles 12.3 et 15 du RGPD est indéniable, en ce que la défenderesse ne conteste pas avoir répondu à la demande d’accès du plaignant avec 14 mois de retard. En ayant répondu à la demande d’accès du plaignant bien au-delà du délai fixé par l’article 12.3 du RGPD, la défenderesse s’est rendue coupable d’une violation continue du droit d’accès du plaignant 14 mois durant. »

Conséquence pour la société ? Une amende de 100 000 euros.

Petit bonus : dans sa décision, l’APD précise que « concernant le canal de communication utilisé lors des échanges entre le plaignant et la défenderesse entre le 25 janvier 2022 et le 13 mars 2022, la Chambre Contentieuse tient à rappeler à titre strictement informatif et sans que cela ne puisse constituer une quelconque prise de position de sa part qui pourrait aboutir à une sanction que la défenderesse doit, en plus de garantir que les réponses accordées aux plaignants via le chat Facebook soient d’une qualité suffisante, s’assurer que ce canal de communication réponde aux exigences de sécurité appropriées telles que définies aux articles 5.1.f), 24, 25 et 32 du RGPD. »

Disponible (en anglais) sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.