Dernières actualités : données personnelles

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur les changements apportés à la politique de LinkedIn en matière de données d’IA

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré :
« Nous sommes heureux que LinkedIn ait réfléchi aux préoccupations que nous avons soulevées concernant son approche de la formation des modèles d’IA générative avec des informations relatives à ses utilisateurs britanniques. Nous nous félicitons de la confirmation par LinkedIn qu’il a suspendu cette formation de modèle en attendant un engagement plus approfondi avec l’ICO.
Afin de tirer le meilleur parti de l’IA générative et des possibilités qu’elle offre, il est essentiel que le public puisse avoir confiance dans le fait que ses droits en matière de protection de la vie privée seront respectés dès le départ.
Nous continuerons à surveiller les principaux développeurs d’IA générative, notamment Microsoft et LinkedIn, afin d’examiner les garanties qu’ils ont mises en place et de veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Les résultats du Sweep, réalisé par le Global Privacy Enforcement Network (GPEN) et  dont la Garante italienne est membre, ont été publiés

Dans sa newsletter du 13 septembre, l’autorité italienne revient sur les résultats de l’enquête du GPEN. Globalement, il est estimé que les utilisateurs de sites web et d’applications rencontrent encore trop d’obstacles lorsqu’ils doivent gérer les cookies ou supprimer leur compte. Les politiques de confidentialité, en revanche, sont faciles à lire et facilement accessibles. En effet, 26 autorités de protection des données du GPEN ont passé au crible, entre le 29 janvier et le 2 février, 899 sites web et 111 applications et ont identifié, dans 97 % des cas, la présence d’au moins un type de conception trompeuse. Parmi les indicateurs pris en considération, citons : l’utilisation d’un langage complexe et déroutant dans les divulgations, l’inclusion d’étapes supplémentaires et inutiles, l’introduction d’éléments de conception pour influencer la perception des options de confidentialité, et la demande d’informations personnelles excessives pour accéder à un service.

L’attention du garant italien de la protection de la vie privée s’est portée sur 50 sites web de « comparateurs » de services et de produits et concernait les bannières de cookies et la manière dont les comptes d’utilisateurs peuvent être supprimés. Dans plus de 60 % des cas, les bannières affichaient avec plus d’insistance l’option la moins favorable à la vie privée des utilisateurs ; dans près de 40 % des cas, l’utilisateur était contraint de suivre plusieurs étapes pour rejeter cette option ; dans un plus petit nombre de cas (environ 30 %), aucune autre option n’était présentée, hormis l’acceptation de tous les cookies. En outre, la  suppression d’un compte d’utilisateur présentait aussi souvent des difficultés en raison de l’absence d’une fonctionnalité de suppression spécifique, du nombre excessif de clics pour y parvenir, de la demande d’informations personnelles excessives et de l’utilisation d’un langage visant à dissuader l’utilisateur.

Disponible sur: privacyenforcement.net
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta visant à introduire des comptes pour adolescents, dotés de mesures de protection supplémentaires.

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré : « Nous saluons les nouvelles protections d’Instagram pour ses jeunes utilisateurs suite à notre engagement avec eux. Notre code de l’enfance est clair sur le fait que les comptes des enfants doivent être configurés comme ‘haute confidentialité’ par défaut, à moins qu’il n’y ait une raison impérieuse de ne pas le faire. Nous continuerons à faire pression là où nous pensons que l’industrie peut aller plus loin, et nous prendrons des mesures là où les entreprises ne font pas ce qu’il faut. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Mesures prises à l’encontre de Sky Betting and Gaming pour utilisation de cookies sans consentement

Dans un communiqué publié ce jour, l’ICO annonce avoir adressé un blâme à Bonne Terre Limited, opérant sous le nom de Sky Betting and Gaming, pour avoir traité illégalement les données des personnes par le biais de cookies publicitaires sans leur consentement.

À la suite d’une plainte déposée par l’association militante Clean Up Gambling, l’autorité a cherché à savoir si Sky Betting and Gaming abusait délibérément des informations personnelles des joueurs pour cibler les joueurs vulnérables. Bien qu’aucune preuve d’abus délibéré n’ait été trouvée, l’ICO a conclu que Sky Betting and Gaming traitait des données personnelles par le biais de certains cookies d’une manière qui n’était pas légale, transparente ou équitable. L’enquête a en effet relevé que du 10 janvier au 3 mars 2023, Sky Betting and Gaming a traité les informations personnelles des personnes et les a partagées avec des sociétés de technologie publicitaire dès qu’elles accédaient au site Web de SkyBet – avant qu’elles aient la possibilité d’accepter ou de refuser les cookies publicitaires. Cela signifie que leurs informations personnelles pouvaient être utilisées pour les cibler avec des publicités personnalisées sans leur consentement préalable ou sans qu’ils le sachent.

Sky Betting and Gaming a apporté des modifications en mars 2023 pour s’assurer que les internautes puissent rejeter les cookies publicitaires avant que leurs données personnelles ne soient partagées à ces fins. Cette mesure d’application de la loi intervient alors que nous nous efforçons de sévir contre les sites web qui n’offrent pas aux internautes un choix équitable et éclairé quant à l’utilisation de leurs données personnelles à des fins de publicité ciblée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

  • La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
  • Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut