Dernières actualités : données personnelles

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Selon l’autorité italienne, le RGPD s’applique également à Wikipédia

Dans sa newsletter du 06 juin, à la suite d’une plainte déposée par un intéressé qui n’avait pas vu satisfaite sa demande de suppression d’un article biographique, relatif à une affaire judiciaire,  l’autorité rappelle que le traitement des données à caractère personnel effectué par Wikipédia relève du RGPD ainsi que des règles relatives au journalisme et à l’expression de la pensée s’appliquent au contenu publié. Pour réaliser cette conclusion alors même que la société éditrice de l’encyclopédie n’a pas d’établissement au sein de l’Union, l’autorité italienne a estimé que « Wikipédia n’offre pas seulement un service d’information sur une grande variété de sujets, mais s’adresse également au marché européen, comme le démontrent le pilotage et la vérification constants par la Fondation des standards de qualité des contenus adressés à la communauté et la création de versions du site dédiées aux utilisateurs d’un ou de plusieurs États membres. » De cette manière, explique la Garante, “l‘exigence d’intentionnalité dans la prestation de services qui permet d’appliquer le RGPD à un responsable de traitement établi dans un pays tiers sans établissement dans l’UE est remplie”.

Malgré cela, l’autorité a rejeté la demande d’annulation de la personne concernée au motif que le traitement de données à caractère personnel à des fins journalistiques, même sans consentement, qui est licite s’il respecte les droits et la dignité des personnes et le principe du caractère essentiel de l’information. De même, elle estime licite le fait que que l’article reste dans les archives des encyclopédies en ligne : les archives des sites web et des journaux, y compris ceux qui sont imprimés, jouent un rôle important dans la reconstitution historique des événements. Toutefois, la Garante a ordonné la désindexation de l’article. La présence en ligne de la page annulerait en effet le bénéfice « reconnu par la loi visant à limiter la connaissance de la condamnation de moins de deux ans subie par une personne donnée, serait en effet réduit à néant si le responsable du traitement était autorisé à poursuivre le traitement des données du plaignant en les mettant à disposition sur le web, portant ainsi atteinte à la sphère de confidentialité de la personne concernée ». Par ailleurs, l’autorité note « qu’il ne semble pas y avoir, à l’heure actuelle, de raisons spécifiques d’intérêt public justifiant le maintien de l’article en question en dehors des archives du site ; »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut