Dernières actualités : données personnelles

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Reconnaissance faciale : l’autorité italienne sanctionne un concessionnaire qui l’utilisait pour du contrôle des temps de travail (120 000 euros d’amende)

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction d’un concessionnaire automobile (dont nous ne connaissons pas l’identité) pour avoir violé les données personnelles de ses employés en utilisant des systèmes de reconnaissance faciale pour contrôler les présences sur le lieu de travail. L’autorité est intervenue à la suite d’une plainte déposée par un employé dénonçant le traitement illicite de données à caractère personnel au moyen d’un système biométrique installé dans les deux unités de production de l’entreprise. La plainte dénonçait également l’utilisation d’un logiciel de gestion avec lequel chaque employé devait enregistrer les travaux de réparation effectués sur les véhicules qui lui étaient attribués, l’heure et la manière dont les travaux avaient été effectués, ainsi que les temps d’arrêt avec des raisons spécifiques.

L’enquête menée par l’autorité pour faire suite à cette plainte, réalisée en coopération avec d’autres autorités, ont révélé de nombreuses violations du règlement européen par la société. Dans sa newsletter, l’autorité met en particulier en lumière les deux éléments suivants :

* En ce qui concerne le traitement des données biométriques, l’autorité a réitéré une fois de plus que l’utilisation de ces données n’est pas autorisée parce qu’aucune disposition légale n’envisage actuellement l’utilisation de données biométriques pour l’enregistrement des présences. Par conséquent, l’Autorité a rappelé que même le consentement donné par les employés ne peut être considéré comme une condition préalable à la légalité, en raison de l’asymétrie entre les parties respectives à la relation de travail.

* Depuis plus de six ans, le concessionnaire utilisait un logiciel de gestion pour collecter des données personnelles sur les activités des employés afin d’établir des rapports mensuels à envoyer à la société mère, contenant des données agrégées sur le temps passé par les ateliers sur le travail effectué. Tout cela en l’absence d’une base juridique appropriée et d’une information adéquate qui, dans le cadre de la relation de travail, est l’expression du principe d’équité et de transparence. En conséquence, en plus de sanctionner la société, l’autorité lui a donc ordonné de mettre le traitement des données effectué par le biais du logiciel de gestion en conformité avec les dispositions de la réglementation relative à la protection des données personnelles.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

CNPD (autorité luxembourgeoise)

La CNPD (autorité de protection des données du Luxembourg) a mis en ligne un « bac à sable » (sandbox) réglementaire sur l’intelligence artificielle. 

Dans le cadre de sa mission de guidance la CNPD propose un « bac à sable règlementaire » ou « regulatory Sandbox ».
Le programme SandKëscht est un environnement dédié à la mise à l’essai et à la compréhension des implications légales des nouvelles technologies et / ou de nouveaux usages de la donnée, notamment dans le domaine de l’intelligence artificielle, en collaboration avec les acteurs luxembourgeois. Axée sur la protection des données personnelles, cette initiative suit un plan spécifique sur une période définie, encourageant l’innovation tout en consolidant la confiance du public dans les nouvelles technologies.

En rassemblant une diversité d’acteurs du secteur public et privé, grands et petits, le programme vise à encourager une approche collaborative et proactive dans la gestion des défis émergents liés à la confidentialité des données et à l’utilisation de l’IA. Dans cet environnement, les principes directeurs ( »proactivité, collaboration, expérimentation, agilité, orienté résultat ») conduisent la démarche et guide les participants à travers un processus structuré, garantissant une définition claire des objectifs, une évaluation rigoureuse des alternatives, une mise en œuvre efficace des actions et un suivi attentif pour assurer l’atteinte des objectifs fixés.

Disponible (en anglais) sur: cnpd.public.lu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-178/22

Le juge chargé d’autoriser l’accès à des relevés téléphoniques pour identifier les auteurs d’une infraction, pour la poursuite de laquelle la loi nationale prévoit un tel accès, doit être habilité à refuser ou à restreindre cet accès 

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE a jugé que selon la loi italienne, le délit de vol aggravé fait partie des infractions justifiant l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge. Elle estime que  l’ingérence dans ces droits fondamentaux causée par l’accès à des relevés téléphoniques est susceptible d’être qualifiée de grave et confirme qu’un tel accès ne peut être accordé qu’aux données de personnes soupçonnées d’être impliquées dans une infraction grave.

La Cour précise qu’il incombe aux États membres de définir les « infractions graves » aux fins de l’application de la directive en question. La législation pénale relève en effet de la compétence des États membres pour autant que l’Union n’ait pas légiféré en la matière. Elle précise également que les États membres ne sauraient dénaturer cette notion et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales de l’État membre concerné, alors même que le législateur de cet État membre a prévu de les punir d’une peine de réclusion maximale d’au moins trois ans.

Enfin, la Cour estime qu’afin, notamment, de vérifier l’absence d’une dénaturation de la notion de « criminalité grave », il est néanmoins essentiel que, lorsque l’accès aux données conservées comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée, cet accès soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Ainsi, le juge chargé d’autoriser cet accès doit être habilité à refuser ou à restreindre ledit accès lorsqu’il constate que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ledit accès est grave alors qu’il est manifeste que l’infraction en cause n’est pas grave au regard des conditions sociétales prévalant dans l’État membre concerné.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

La CNIL italienne adresse un avertissement à la Worldcoin Foundation avant même qu’elle ne commence le déploiement de son traitement de données biométriques via ses ORB en Italie

Alors que la société Worldcoin, dont le traitement consiste à enregistrer l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie du même nom, a d’ores et déjà fait l’objet d’une interdiction en Espagne et au Portugal quelques semaines plus tard – celle-ci poursuit son déploiement petit à petit, la CNIL italienne a décidé de prendre les devants en avertissant la société qu’il s’agirait probablement d’un traitement contraire au RGPD :

« Conformément à l’article 58, paragraphe 2, point a), du règlement et à l’article 154, paragraphe 1, point f), du code, avertit la Worldcoin Foundation, dont le siège social est situé Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Îles Caïmans, en sa qualité de responsable du traitement des données à caractère personnel, que le traitement des données biométriques qui sera effectué en Italie, par l’intermédiaire des ORB et de la manière décrite ci-dessus, est susceptible d’enfreindre les dispositions du règlement« .

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut