Dernières actualités : données personnelles

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

L’autorité prononce une ordonnance de mise en conformité pour l’installation illégale d’un système de vidéosurveillance dans une maison

Dans un communiqué de la semaine dernière et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant l’installation d’un système de vidéosurveillance dans une maison en train de surveiller des espaces non privés. En l’occurrence, le plaignant faisait valoir que 2 des 8 caméras installées par ses voisins capturaient en continu des images de son balcon et de sa terrasse, ainsi que la voie publique. Le plaignant a exprimé son opposition au système de vidéosurveillance via un e-mail daté du 24 mars 2023, demandant des informations sur le dispositif ainsi que la restitution des enregistrements le concernant. Il a également accusé ses voisins d’avoir utilisé des captures vidéo et des photos le montrant dans des litiges judiciaires les opposant.

L’enquête menée par l’autorité grecque a confirmé les faits reprochés aux voisins, qui ont tenté de les justifier par les éléments suivants:
* L’installation est nécessaire du fait d’antécédents de cambriolage.
* Les intérêts du voisin priment sur les droits du plaignant.

Néanmoins, ces arguments n’ont pas convaincu l’autorité qui a jugé que les personnes concernées maintenaient le système de vidéosurveillance installé en violation des dispositions du RGPD et a ordonné l’arrêt de l’utilisation des caméras qui surveillent la voie publique et la maison du plaignant dans un délai de 15 jours. Elle a également demandé aux voisins de fournir la preuve de l’exécution de cette décision. Si les voisins souhaitent réactiver les caméras, ils doivent limiter la zone surveillée à ce qui est strictement nécessaire et obtenir une autorisation préalable en prouvant la légalité du système.
En revanche, pas d’amende pour cette fois !

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Les résultats du Sweep, réalisé par le Global Privacy Enforcement Network (GPEN) et  dont la Garante italienne est membre, ont été publiés

Dans sa newsletter du 13 septembre, l’autorité italienne revient sur les résultats de l’enquête du GPEN. Globalement, il est estimé que les utilisateurs de sites web et d’applications rencontrent encore trop d’obstacles lorsqu’ils doivent gérer les cookies ou supprimer leur compte. Les politiques de confidentialité, en revanche, sont faciles à lire et facilement accessibles. En effet, 26 autorités de protection des données du GPEN ont passé au crible, entre le 29 janvier et le 2 février, 899 sites web et 111 applications et ont identifié, dans 97 % des cas, la présence d’au moins un type de conception trompeuse. Parmi les indicateurs pris en considération, citons : l’utilisation d’un langage complexe et déroutant dans les divulgations, l’inclusion d’étapes supplémentaires et inutiles, l’introduction d’éléments de conception pour influencer la perception des options de confidentialité, et la demande d’informations personnelles excessives pour accéder à un service.

L’attention du garant italien de la protection de la vie privée s’est portée sur 50 sites web de « comparateurs » de services et de produits et concernait les bannières de cookies et la manière dont les comptes d’utilisateurs peuvent être supprimés. Dans plus de 60 % des cas, les bannières affichaient avec plus d’insistance l’option la moins favorable à la vie privée des utilisateurs ; dans près de 40 % des cas, l’utilisateur était contraint de suivre plusieurs étapes pour rejeter cette option ; dans un plus petit nombre de cas (environ 30 %), aucune autre option n’était présentée, hormis l’acceptation de tous les cookies. En outre, la  suppression d’un compte d’utilisateur présentait aussi souvent des difficultés en raison de l’absence d’une fonctionnalité de suppression spécifique, du nombre excessif de clics pour y parvenir, de la demande d’informations personnelles excessives et de l’utilisation d’un langage visant à dissuader l’utilisateur.

Disponible sur: privacyenforcement.net
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les organisations informent insuffisamment les victimes de violations de données, l’AP donne des conseils.

Les personnes victimes d’une violation de données reçoivent souvent des informations insuffisantes de la part de l’organisation concernée. Cela fait que les victimes ne sont pas suffisamment conscientes du risque d’utilisation abusive de leurs données personnelles. Elles ne savent pas non plus ce qu’elles peuvent faire pour réduire les risques, par exemple, de fraude en ligne. C’est ce que met en garde l’Autorité de protection des données (AP) suite à une enquête sur les plus grandes violations de données de 2023.

Plus précisément, l’AP a répertorié plus de 50 des plus grandes violations de données de 2023 dans le cadre de l’enquête. Les données de quelque 10 millions de personnes ont été affectées par ces fuites, qui ont été principalement causées par des cyberattaques. Elle estime que les organisations sont souvent beaucoup trop lentes à envoyer leurs avertissements (plus de 3 semaines en moyenne), que près de la moitié des messages n’indiquent pas clairement ce qui s’est passé et quelles données ont été divulguées, et que plus de la moitié des messages ne sont pas non plus rédigés de manière suffisamment claire. En outre, les courriels d’avertissement manquent parfois d’un titre ou d’une introduction alarmants, avec le risque que le destinataire ne lise même pas le message.

Au cours de l’enquête, les organisations elles-mêmes ont exprimé des difficultés à réaliser des messages d’alertes satisfaisants. Pour aider les organisations aux Pays-Bas, l’AP propose des exemples concrets de textes pour les messages d’avertissement concernant les violations de données.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

8 ans de GDPR : La carte de fidélité des supermarchés grecs n’est toujours pas conforme

La chaîne de supermarchés grecque Alfa Vita (AB) gère un programme de cartes de fidélité qui permet de collecter les données personnelles des clients. Pourtant, l’entreprise n’est même pas en mesure de respecter les droits de base du GDPR. Lorsque la plaignante a demandé l’accès à ses données, AB a omis la plupart des données personnelles qu’elle traitait. noyb a déposé une plainte auprès de l’autorité grecque de protection des données.

Disponible sur: noyb.eu

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

GPDP (autorité italienne)

L’autorité italienne publie son rapport annuel 2023

L’autorité pour la protection des données personnelles – composée de Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – présente aujourd’hui le rapport sur les activités menées au cours de la quatrième année de son mandat. Le rapport illustre les différents fronts sur lesquels l’Autorité s’est engagée au cours d’une année caractérisée par des interventions dans des domaines très innovants : numérisation, intelligence artificielle, PNRR, et par certaines constantes : la lutte contre le télémarketing agressif, l’attention particulière aux personnes vulnérables et la protection des données de santé. Des deux côtés, qui sont mutuellement liés, la Garante a toujours cherché le règlement difficile, parfois ardu, des intérêts et des droits en jeu, poursuivant sa tâche de protection des droits qui sont vraiment fondamentaux pour la liberté personnelle et sociale.

Après être revenue sur les interventions qu’elle estime être les plus pertinentes (notamment dans des dossiers à enjeux tels que des dossiers IA), l’autorité nous donne ses chiffres pour 2023:
* 9281 plaintes et signalements concernant notamment le marketing et les réseaux télématiques ; les données en ligne des administrations publiques ; la santé ; la justice ; le cyberharcèlement et le revenge porn ; la sécurité informatique ; la banque et la finance ; le travail ;
* 144 contrôles, ainsi que 394 mesures correctives et sanctions pour un montant total de 8 millions d’euros (perçus) ;
* 2037 notifications de violation de données ;
* 59 avis sur des actes réglementaires et administratifs ;
* 19 200 questions traitées ;

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut