Dernières actualités : données personnelles

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Espagne : sanction d’un établissement de crédit pour traitement illicite après une usurpation d’identité

La semaine dernière, l’autorité espagnole (AEPD) a publié une sanction à l’encontre de la société Wenance Lending de España, S.A. (WELP ou WENANCE), une société de prêt en ligne, par laquelle elle prononce une amende de plus de 70 000 euros. pour violation de l’article 6 du RGPD selon lequel le traitement n’est licite que si une base légale appropriée est applicable.

Comme souvent, cette affaire commence avec la réclamation d’une personne, en l’occurrence, pour un traitement illégal de données personnelles. Le plaignant déclare que le 21 août 2020, il a vu une offre d’emploi sur le site web « milanuncios ». L’annonce indiquait le numéro de téléphone à contacter. Après avoir contacté ce numéro, le plaignant affirme avoir envoyé un selfie de lui-même avec une photo du recto et du verso de sa carte d’identité.
Peu de temps après, il dépose une réclamation affirmant que WELP lui impute une dette qui ne lui correspond pas, puisqu’elle découle de la contraction d’un prêt qui aurait été contracté frauduleusement le même jour.

L’AEPD ouvre une enquête au cours de laquelle il a été constaté que la procédure d’octroi du crédit établie par la défenderesse, en fonction du montant de la créance, était la suivante :
a) Remplir le formulaire de demande en indiquant vos données personnelles.
b) Soumission de la  photo de la pièce d’identité, recto et verso, selfie avec carte d’identité à la main, justificatif de revenus et copie du dernier bulle

[Ajout contextuel Portail RGPD: Autrement dit, l’arnaque était bien ficelée et visait à obtenir précisément ces éléments, ou en tout cas suffisamment afin de pouvoir falsifier le reste aisément.]

L’enquête a par ailleurs confirmé que le compte bénéficiant du prêt n’appartient pas au plaignant mais à une autre personne avec date d’enregistrement 20/08/2020 et date de radiation 15/01/2021. Le compte a été créé le 20 août 2020, un jour avant la conclusion du prêt faisant l’objet de la plainte. Il a été vérifié que l’adresse électronique et le numéro de téléphone utilisés pour contracter le prêt et qui apparaissent dans les bases de données de WELP ne coïncident pas avec l’adresse électronique et le numéro de téléphone que la Banque SANTANDER possède dans ses bases de données et que le plaignant a utilisés pour contacter WELP. Par ailleurs, WELP n’a pas fourni la preuve de la propriété du compte bancaire qu’elle était censée avoir vérifié manuellement pour contracter le prêt.

Compte tenu de ces éléments, l’autorité espagnole considère que le traitement des données à caractère personnel de la plaignante par WENANCE, qui a enregistré un contrat de crédit à la consommation en son nom, n’était couvert par
aucune des bases juridiques énoncées à l’article 6 du RGPD. Elle estime ainsi que la banque a procédé à un traitement illicite de données à caractère personnel et l’a condamné à une amende.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ».  Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité  « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.