Dernières actualités : données personnelles – Page 2

ICO (autorité anglaise)

23 juillet 2024

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

1 juillet 2024

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

ICO (autorité anglaise)

23 juin 2024

L’ICO publie sa décision concernant le chatbot « My AI » de Snap

L’ICO l’a annoncé il y a quelques semaines, c’est désormais chose faite : l’autorité a publié sa décision concernant le chatbot « My AI » de Snap. Après avoir analysé les différentes caractéristiques du traitement (nature du traitement, contexte, respect des principes, etc.), et conformément à la déclaration faite il y a quelques semaines l’autorité conclut sa décision en indiquant que « Snap a effectué une DPIA révisée qui est conforme aux exigences de l’article 35 du GDPR britannique. Par conséquent, il n’y a aucune raison pour que le commissaire émette un avis d’exécution qui exige que Snap prenne, ou s’abstienne de prendre, des mesures spécifiques afin de mettre ses opérations de traitement en conformité avec l’article 35 du GDPR britannique. En outre, après avoir examiné les observations de Snap, y compris une déclaration de témoin accompagnée d’une déclaration de vérité d’un cadre supérieur de Snap, le commissaire a conclu que Snap n’a pas enfreint l’article 36, paragraphe 1, du GDPR du Royaume-Uni en omettant de consulter le commissaire avant de commencer le traitement des données à caractère personnel en rapport avec My AI. »

[Ajout contextuel Portail RGPD: Pour rappel, l’enquête avait été lancée lorsque l’ICO a constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission de protection de la vie privée

20 juin 2024

Les amendes de l’autorité norvégienne prononcées contre Meta et Facebook ont été annulées

Dans une décision du 18 juin 2024, faisant suite à une décision de sanction prononcée par l’autorité de protection des données norvégienne qui a été contestée par la société par Facebook Norvège, la Commission de la protection des données a conclu « que la décision d’amende coercitive à l’encontre de Meta Ireland et de Facebook Norway doit être annulée car elle ne repose sur aucune base juridique« .

En cause ? Une erreur procédurale. Selon la décision, cette affaire soulève un certain nombre de questions procédurales fondamentales liées aux recours de droit administratif contre de telles décisions. La Commission se contente ici de faire référence au désaccord entre l’autorité norvégienne de protection des données, Meta Ireland et Facebook Norway quant aux limitations applicables au traitement par la Commission du recours contre la décision relative à une amende coercitive. De l’avis de la Commission, rien dans les travaux préparatoires de la loi sur les données personnelles n’indique que le ministère avait également l’intention d’introduire la possibilité pour l’autorité de contrôle d’imposer une amende coercitive pour les décisions urgentes au titre du chapitre VII. Si l’intention était que l’article 29 de la loi sur les données à caractère personnel fournisse une telle base juridique, on peut raisonnablement s’attendre à ce que le ministère ait procédé à des évaluations et à des clarifications approfondies de la question de la compétence de la Commission dans de tels cas dans les travaux préparatoires de la loi sur les données à caractère personnel. Le principe de légalité impose également que des dispositions procédurales soient incluses dans la loi pour réglementer les dérogations aux règles générales sur les recours et les annulations du chapitre VI de la loi sur l’administration publique et la disposition spéciale de l’article 51, cinquième paragraphe, sur les recours contre les décisions d’exécution. De l’avis de la Commission, il s’agit de questions qui ne se prêtent pas à une clarification par la pratique des organes administratifs.

La Commission de la protection des données a ainsi conclu que l’article 29 de la loi sur les données personnelles doit être interprété de manière restrictive, de sorte que la disposition n’autorise pas l’autorité norvégienne de protection des données, en tant qu’autorité de contrôle concernée, à adopter une décision sur une amende coercitive pour assurer le respect d’une décision urgente prise en vertu de l’article 66, paragraphe 1 (à savoir la procédure d’urgence). La disposition n’autorise l’adoption d’une décision sur une amende coercitive que pour assurer le respect d’ordonnances dans des affaires non transfrontalières.

Disponible (en norvégien) sur: personvernnemnda.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

15 juin 2024

Déclaration en réponse au projet de Meta de suspendre l’entrainement de son IA générative à l’aide de données d’utilisateurs

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« Nous sommes heureux que Meta ait réfléchi aux préoccupations que nous avons partagées avec les utilisateurs de leur service au Royaume-Uni, et ait répondu à notre demande de mettre en pause et de revoir les plans d’utilisation des données des utilisateurs de Facebook et d’Instagram pour former l’IA générative. Afin de tirer le meilleur parti de l’IA générative et des opportunités qu’elle apporte, il est crucial que le public puisse avoir confiance dans le fait que leurs droits à la vie privée seront respectés dès le départ. Nous continuerons à surveiller les principaux développeurs d’IA générative, y compris Meta, pour examiner les garanties qu’ils ont mises en place et veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

De son côté, l’autorité irlandaise a déclaré « se féliciter de la décision de Meta de suspendre son projet de formation de son modèle de langage étendu en utilisant des contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. La DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

22 mai 2024

L’ICO enquête sur la nouvelle fonction « Recall » de Microsoft

Dans un communiqué publié hier, l’ICO annonce l’ouverture d’une enquête sur la fonctionnalité Recall récemment présentée par le géant :
« Nous attendons des organisations qu’elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu’elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L’industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de mettre des produits sur le marché. Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs. »

[Ajout contextuel Portail RGPD: Selon le site de Microsoft, Recall est une fonctionnalité qui « prend des instantanés de votre écran. Les instantanés sont pris toutes les cinq secondes lorsque le contenu de l’écran est différent de l’instantané précédent. Vos instantanés sont ensuite stockés localement et analysés localement sur votre PC. L’analyse de Recall vous permet de rechercher du contenu, y compris des images et du texte, en utilisant le langage naturel. Vous essayez de vous souvenir du nom du restaurant coréen mentionné par votre amie Alice ? Il vous suffit de demander à Recall de trouver des résultats textuels et visuels correspondant à votre recherche, automatiquement triés en fonction de leur degré de concordance avec votre recherche. Recall peut même vous renvoyer à l’emplacement exact de l’article que vous avez vu. »
Malgré l’affirmation de Microsoft selon laquelle tout serait réalisé en local et rien de sortirait de l’ordinateur de l’utilisateur (ce qui serait prouvé par le fait qu’une connexion internet ne serait pas requise pour utiliser Recall), de nombreuses inquiétudes ont émergé en lien avec le fait que tout élément apparaissant sur l’écran est susceptible d’être conservé : les mots de passe, les numéros de carte bancaire, les RIB, des numéros de sécurité sociale, etc. créant un risque très important pour les personnes concernées. En outre, il est difficilement imaginable que tous penseront à systématiquement supprimer les captures d’écran comprenant ces informations très sensibles.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

21 mai 2024

L’ICO avertit les organisations qu’elles ne doivent pas ignorer les risques liés à la protection des données et nous concluons l’enquête sur le chatbot « My AI » de Snap.

Dans un communiqué publié ce jour, l’ICO annonce avoir conclu son enquête sur le lancement par Snap, Inc. du chatbot « My AI ».
« En juin 2023, nous avons ouvert une enquête sur « Mon IA » après avoir constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023. L’enquête nous a conduits à émettre un avis préliminaire d’exécution à l’encontre de Snap le 6 octobre 2023.

Notre enquête a permis à Snap de prendre des mesures importantes pour effectuer un examen plus approfondi des risques posés par « My AI » et nous démontrer qu’elle avait mis en œuvre des mesures d’atténuation appropriées. Nous sommes convaincus que Snap a désormais entrepris une évaluation des risques liés à « Mon IA » qui est conforme à la loi sur la protection des données. Nous continuerons à surveiller le déploiement de « Mon IA » et la manière dont les risques émergents sont traités. »

La décision finale sera publiée dans quelques semaines.
L’ICO profite de cet article pour « avertir l’industrie de s’engager dans les risques de protection des données de l’IA générative avant de mettre des produits sur le marché« , et compte bien « continuer à surveiller le développement et le déploiement de modèles d’IA générative et rappeler à l’industrie qu’elle doit innover de manière responsable« .

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

16 mai 2024

Le stagiaire du loueur de voitures ‘Rent-A-Car’ condamné à une amende de 300€ pour avoir obtenu illégalement des données sur ses clients

Un ancien stagiaire en gestion chez Enterprise Rent-A-Car UK Limited (« Rent-A-Car ») a été condamné à payer une amende d’environ 300€ après avoir admis avoir obtenu illégalement des données de clients entre le 18 mars 2019 et le 1er avril 2019, alors que l’entreprise n’avait pas consenti à ce qu’il obtienne ces données, déclarant que l’accès à ces informations ne relevait pas de son rôle et qu’il n’y avait pas de nécessité professionnelle à ce qu’il le fasse.

Dans cette affaire, les préoccupations initiales ont été soulevées après que S. Saleem, 42 ans, se soit rendu sur son lieu de travail dans le West Yorkshire en dehors des heures prévues, le dimanche 31 mars 2019. Un audit interne a révélé qu’il avait passé 32 minutes à accéder à 39 enregistrements de données clients concernant 25 agences de location différentes. À la suite de cela, Rent-A-Car a mené une enquête interne qui a révélé que Saleem avait accédé à un certain nombre d’enregistrements contenant des données personnelles au cours de la période incriminée en 2019 – au total au moins 213 dossiers ont été consultés illégalement. Il a été licencié pour faute grave peu de temps après avant d’être condamné par l’ICO.

[Ajout contextuel Portail RGPD: Habituellement, les noms des personnes physiques condamnées par les autorités de protection des données ne sont pas publiés. Ici, la décision (non publiée) est rendue par une Cour pénale britannique – leur culture admettant plus facilement le « name-and-shame » que la notre : malgré tout, la décision de publier le nom du stagiaire pourrait lui causer un préjudice important allant bien au delà de la sanction financière – et ce alors même que les faits se sont déroulés il y a plus de 5 ans. Par exemple, n’importe quel futur employeur de ce stagiaire qui prendrait la peine de taper son nom risquerait fort de rejeter sa candidature. Enfin, il est notable que la durée de la publication intégrant le nom du stagiaire n’a pas été précisée dans la publication.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

1 mai 2024

Déclaration commune de l’Ofcom et de l’Information Commissioner’s Office sur la collaboration en matière de réglementation des services en ligne

« En tant qu’organismes responsables de la réglementation de la protection des données et de la sécurité en ligne au Royaume-Uni, l’Information Commissioner’s Office (ICO) et l’Ofcom s’engagent à protéger les utilisateurs en ligne. Nous cherchons à promouvoir la conformité et à soutenir l’innovation, à améliorer la clarté de la réglementation et à permettre une croissance continue en supprimant les charges réglementaires excessives. Nous avons publié une déclaration commune en 2021, exposant notre vision partagée d’un paysage réglementaire clair et cohérent pour les services en ligne, garantissant la conformité avec nos deux régimes.
Cette dernière déclaration s’appuie sur cette vision en exposant plus en détail la manière dont nous collaborerons lorsque nous identifierons des questions transversales de sécurité en ligne et de protection des données, ainsi que des opportunités dans notre réglementation de services spécifiques. Nous réexaminerons régulièrement cette approche de la collaboration pour nous assurer qu’elle reste efficace. Les nouvelles méthodes de travail décrites dans cette déclaration sont utilisées par les collègues opérationnels des équipes de l’ICO et de l’Ofcom qui supervisent et travaillent avec les services. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

12 avril 2024

L’autorité anglaise sollicite des avis sur la précision des modèles génératifs d’IA afin de mettre à jour ses guides

L’Information Commissioner’s Office (ICO) a lancé le dernier volet de sa série de consultations sur la manière dont la loi sur la protection des données s’applique au développement et à l’utilisation de l’IA générative. La troisième consultation de la série porte sur la manière dont le principe d’exactitude de la protection des données s’applique aux résultats des modèles d’IA générative et sur l’impact que des données d’entraînement exactes ont sur les résultats. En effet, lorsque des personnes s’appuient à tort sur des modèles d’IA générative pour fournir des informations factuelles exactes sur des personnes, il peut en résulter des informations erronées, des atteintes à la réputation et d’autres préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.