Dernières actualités : données personnelles

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ».  Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité  « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Worldcoin s’engage à cesser ses activités en Espagne

En mars dernier, l’Agence espagnole de protection des données (AEPD) a pris une mesure conservatoire ordonnant à la société à l’origine du Worldcoin de cesser la collecte et le traitement de données à caractère personnel qu’elle effectuait en Espagne dans le cadre de son projet Worldcoin.  Entre-temps, les investigations du Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), l’autorité de protection des données de Bavière (Allemagne), où la société a son principal établissement en Europe, progressent et devraient se conclure prochainement par une décision finale basée sur des alignements avec toutes les autorités de contrôle européennes concernées. L’AEPD précise collaborer avec l’autorité bavaroise de protection des données, qui est l’autorité principale en matière de traitement des données, l’AEPD étant l’autorité intéressée, comme le prévoit le GDPR.

Dans ce contexte, l’entreprise a pris l’engagement juridiquement contraignant de ne pas reprendre ses activités en Espagne avant la fin de l’année ou, le cas échéant, jusqu’à ce que la BayLDA adopte une résolution finale concernant le traitement des données effectué par l’entreprise. La société éditrice du Worldcoin a annoncé des changements dans son fonctionnement, tels que l’introduction de contrôles pour vérifier l’âge ou la possibilité d’éliminer le code iris.

[Ajout contextuel Portail RGPD: Pour rappel, Worldcoin est un outil permettant de créer une identité numérique via l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie. Cette technologie a très vite fait l’objet de nombreuses plaintes en Europe, notamment en Espagne et au Portugal où elles ont été interdites, de même qu’en Italie où un avertissement a été adressé à la société avant même qu’elle le déploie sa solution.]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD a ordonné à Meta de cesser la mise en œuvre les fonctionnalités électorales qu’elle prévoit de lancer en Espagne

Ce jour, l’Agence espagnole de protection des données (AEPD) a ordonné  à Meta Platforms Ireland Limited de suspendre, immédiatement et en vue des prochaines élections du Parlement européen, le lancement sur le territoire espagnol des fonctionnalités Election Day Information (EDI) et Voter Information Unit (VIU), ainsi que la collecte et le traitement des données liées à leur utilisation. Ces fonctionnalités devraient être lancées pour tous les utilisateurs de ses services habilités à voter aux élections européennes, à l’exception de l’Italie, dont l’autorité de protection des données mène déjà une procédure en cours à ce sujet.

Sur le fond, l’AEPD justifie cette mesure par le fait que que le traitement des données envisagé par l’entreprise est contraire au règlement général sur la protection des données (RGPD), qui, à tout le moins, violerait les principes de protection des données que sont la licéité, la minimisation des données et la limitation de la durée de conservation. En effet, à travers ces deux fonctionnalités, qui consistent à fournir des informations aux utilisateurs de Facebook et d’Instagram sur les élections européennes, Meta entend traiter des données à caractère personnel telles que, entre autres, le nom, l’adresse IP, l’âge et le sexe de l’utilisateur ou des informations sur la manière dont il interagit avec ces fonctionnalités. Or, l’autorité considère que la collecte et la conservation des données prévues par l’entreprise mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations qu’elle collecte à leur sujet, ce qui permettrait un profilage plus complexe, détaillé et exhaustif, et générerait un traitement plus intrusif.

Sur la compétence de l’AEPD, si celle-ci n’est pas – en principe – l’autorité compétente en ce que Meta a son siège européen en Irlande, c’est sans compter sur l’article 66.1 du RGPD prévoyant que « dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée – dans ce cas l’AEPD – considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes, elle peut adopter des mesures provisoires produisant des effets juridiques sur son territoire et dont la durée de validité ne peut excéder trois mois. » En l’occurrence, l’AEPD estime que qu’il est urgent, dans le contexte des élections, d’empêcher  « la collecte de données, le profilage des utilisateurs et le transfert à des tiers, évitant que les données soient utilisées par des inconnus et à des fins non explicites ».

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’une des premières sanctions en lien avec les Paywalls revient au site internet Motorsport, condamné à 5000 euros d’amende

Le 14 mai 2024, en conséquence de « lacunes dans la politique de cookies du site, à savoir l’utilisation de cookies non techniques sans le consentement de l’utilisateur, l’impossibilité de les refuser ou de les gérer de manière granulaire et l’impossibilité de retirer le consentement une fois qu’il a été donné « , l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et une sanction de 5000 euros a été prononcée. Selon la LSSI telle que citée par l’AEPD, l’amende maximale encourue par la société pour cette infraction était de 30 000 euros.

Faisant suite à une plainte du 22 mai 2023 au motif que la société éditant le site utilisait une forme illégale de consentement aux cookies sur son site web en vous obligeant à accepter les cookies pour accéder gratuitement au contenu ou à vous abonner moyennant paiement si vous ne souhaitez pas que des cookies soient installés, les enquêteurs de l’AEPD ont découvert que :  « Si vous souhaitez refuser tous les cookies […], vous constaterez que le site web continue à utiliser les cookies détectés au début de la navigation. Aussi, une fois que vous avez confirmé vos préférences (sans avoir donné votre consentement à l’utilisation de cookies), le site web affiche une nouvelle bannière d’information indiquant qu’il n’y a que deux possibilités pour continuer à naviguer sur le site web : soit vous acceptez tous les cookies au préalable, soit vous devez devenir membre moyennant une cotisation mensuelle (où il est assuré, selon les informations fournies dans la bannière, qu’aucun cookie ne sera installé).
En outre, en cas de tentative de retrait du consentement, le site web réaffichait la bannière d’information dans laquelle il était uniquement possible d’accepter ou de « devenir membre » en payant une redevance mensuelle, rendant de facto impossible le retrait du consentement. »

[Ajout contextuel Portail RGPD: Cette sanction fait suite aux récentes lignes directrices publiées par le CEPD en la matière, et selon lesquelles le  CEPD considère que dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. Cette sanction est à notre connaissance la première en la matière et pourrait servir d’avertissement pour tout l’écosystème. ]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

ADPCAT (autorité catalane)

Les technologies de surveillance par Wi-Fi : Orientations pour les responsables du traitement

L’autorité de protection des données catalane a publié des lignes directrices afin d’encadrer les traitements de surveillance du Wi-Fi. D’après le résumé exécutif de ces lignes directrices, « le suivi Wi-Fi ou Wi-Fi tracking est une technologie qui permet d’identifier et d’effacer les dispositifs mobiles par le biais des signaux Wi-Fi qu’ils émettent, de détecter la présence d’un dispositif dans une zone spécifique et d’identifier les personnes qui se déplacent. C’est pourquoi il est utilisé, par exemple, pour estimer les foules, analyser les flux de personnes ou mesurer les temps de séjour. 

Elle peut avoir des applications pratiques dans les centres commerciaux, les musées, les lieux d’intérêt particulier, les lieux de travail, les espaces publics, les transports publics ou les grands événements publics. Cependant, cette pratique présente de sérieux risques pour la vie privée, car elle peut permettre de suivre les mouvements des personnes sans qu’elles agissent ou en soient conscientes, et sans base juridique appropriée. Il est essentiel de savoir que bon nombre de ces utilisations de la localisation par Wi-Fi impliquent la collecte et le traitement de données à caractère personnel. Par conséquent, elles doivent être soumises à l’ensemble des principes, des droits individuels et des obligations des responsables du traitement des données établis par le GDPR.

Les lignes directrices analysent les implications techniques et juridiques de l’utilisation de cette technologie, identifient les principaux risques qui y sont associés et proposent également une série de recommandations spécifiques pour une utilisation responsable et compatible avec les réglementations en matière de protection des données. Ces lignes directrices ont été élaborées conjointement par l’Agence espagnole de protection des données, l’Autorité catalane de protection des données, l’Autorité basque de protection des données et le Conseil pour la transparence et la protection des données d’Andalousie. Elles sont le fruit de la collaboration des quatre autorités de contrôle, compte tenu de l’impact qu’une utilisation inadéquate de la technologie de suivi Wi-Fi peut avoir sur la vie privée et la protection des données des personnes. »

Disponible (en catalan) sur : apdcat.gencat.cat
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut