Dernières actualités : données personnelles

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Concours de l’Institut national de sécurité sociale (INPS) : seules les listes finales des admis peuvent être publiées en ligne

Dans sa newsletter du 6 juin, à la suite d’une plainte déposée par un participant au concours public pour 1858 postes de conseillers en protection sociale dans les rôles du personnel de l’INPS,  l’autorité estime que la publication sur le web des résultats des épreuves intermédiaires ou des données personnelles des participants qui n’ont pas été admis à un concours constitue une violation de la vie privée.

Dans cette affaire, le plaignant s’était plaint de la publication sur le site web de l’Institut de nombreux actes et documents, dont les listes des admis et des non admis à l’épreuve écrite et à l’épreuve orale et la liste des participants, contenant l’évaluation des qualifications par le comité du concours, avec indication de la note attribuée à chaque candidat. Ces documents se retrouveraient également sur les réseaux sociaux, ceux-ci ayant été republiés par des tiers.
En conséquence de cette violation de données, l’institut s’est vu infliger une amende de 20 000 euros et a été contraint de supprimer les listes en question.

L’autorité italienne a ainsi déclaré que « lorsque les entités publiques opèrent dans le cadre de procédures de concours,  elles doivent traiter les données personnelles des personnes concernées conformément à la réglementation sectorielle applicable: il n’est donc pas possible de publier en ligne les données des participants à des concours qui ne sont pas exigées par la loi. En effet, des niveaux de protection des données personnelles différenciés ne sont pas autorisés, que ce soit sur une base territoriale ou au niveau d’une administration unique, en particulier lorsque la question a déjà été équilibrée et réglementée par le législateur avec des dispositions uniformes au niveau national. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne adresse un avertissement à une mère concernant le traitement des données de sa fille

Ce 11 avril 2024, faisant suite à la plainte par le ‘gestionnaire de tutelle’ d’une mineure  concernant la diffusion, par sa maman de multiples images et informations concernant sa santé et sa vie privée – y compris des détails sur les événements criminels dont elle a été victime – ainsi que des informations relatives à sa procédure judiciaire devant le juge des tutelles sur Facebook et Instagram, l’autorité italienne a adressé un blâme à la maman autrice des publications et lui a enjoint de « communiquer les initiatives qui ont été prises afin de [cesser le traitement des images et tout contenu similaire] » dans un délai de 30 jours.

En effet, la Garante estime que celles-ci sont illégales « dans la mesure où elles sont non essentielles et portent atteinte à la dignité de XXX, en violation des articles 137, paragraphe 3, et 139 du code des données personnelles italien et les articles 6 et 10 des règles de déontologie applicables aux activités journalistisques  – et donc en violation des principes généraux de licéité et de loyauté du traitement des données à caractère personnel conformément à l’article 5, paragraphe 1, point a), du règlement ».
En effet, en application de l’article 10 des règles déontologiques italiennes – que l’autorité estime applicables à ce traitement effectué dans l’exercice de la liberté d’expression – s’agissant de la publication de données de santé dès lors que l’information n’est pas essentielle (sans intérêt public ou social majeur), la maman aurait dû  « respecter la dignité de sa ville, son droit à la vie privée et sa bienséance personnelle, en particulier dans le cas de maladies graves ou terminales ». Dans sa newsletter du 21 mai, elle précise qu’il aurait été licite de diffuser des messages qui ne contenaient pas de contenu “cru” car ils relèvent des formes de libre manifestation de la pensée.

Il est à souligner que le juge des tutelles, lors de l’audience du 8 septembre 2022, avait mis en demeure Mme XXX de « cesser immédiatement ladite activité », car elle était considérée comme « en totale violation de la vie privée de la jeune fille » et a autorisé le gestionnaire de la tutelle à déposer une plainte auprès de la Garante. Cette mise en demeure semble ne pas avoir été suivie d’effets, ce qui a engendré la plainte par le ‘gestionnaire de tutelle’ le 7 décembre 2022. Au regard de ces éléments complémentaires, il est visible que la Garante a été particulièrement clémente avec la maman en ne lui imposant pas le paiement d’une amende. 

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ACCP (autorité chypriote)

La Commission chypriote à la protection des données donne son feu vert à l’installation de systèmes de vidéosurveillance dans les écoles, en dehors des heures de cours.

D’après le communiqué de presse, « le ministère de l’éducation et de la jeunesse a réalisé une étude d’impact sur le fonctionnement d’un système de vidéosurveillance en circuit fermé (CCTV) dans les écoles pour la prévention et le traitement de la violence et de la délinquance, qu’il a soumise à la commission à des fins de consultation. À la lumière de ce qui a été présenté et suite à la confirmation hier de l’adoption des derniers commentaires et suggestions de l’autorité, celle-ci a constaté que l’analyse d’impact répond aux exigences de l’article 35 du GDPR et a approuvé l’installation de CCTV dans les écoles. Par conséquent, l’ACCP, en tant que responsable du traitement, est en mesure de lancer les activités et opérations de traitement pertinentes qui ont fait l’objet de l’analyse d’impact présentée.
Dans un premier temps, le fonctionnement du CBC sera lancé à titre pilote dans 10 unités scolaires. »

La commission en a également dévoilé un peu plus sur le contenu de cette AIPD, ainsi que sur le traitement:
« α. Des caméras vidéo seront installées aux entrées/sorties principales des unités scolaires, ainsi qu’à leurs abords.
β. La portée de l’enregistrement sera limitée aux limites des unités scolaires et aucune zone privée ou publique adjacente ne sera enregistrée.
c. La vidéosurveillance sera activée en dehors des heures de cours.
δ. Le matériel visualisé sera stocké pendant une période de 72 heures.
ε. Accès strictement limité au matériel audiovisuel.
f. Des panneaux d’avertissement seront installés pour information. »

Disponible (en grec) sur: dataprotection.gov.cy
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut