Dernières actualités : données personnelles

DPC (autorité irlandaise)

13 juin 2024

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

ICO (autorité anglaise)

10 juin 2024

L’ICO enquête sur la violation des données de 23andMe avec son homologue canadien

L’Information Commissioner’s Office (ICO) et le Commissariat à la protection de la vie privée du Canada (CPVP) ont lancé une enquête conjointe sur la violation de données qui s’est produite en octobre 2023 au sein de la société mondiale de tests génétiques directs aux consommateurs 23andMe, qui est dépositaire d’informations personnelles très sensibles, notamment d’informations génétiques qui ne changent pas avec le temps. Ces données peuvent révéler des informations sur une personne et les membres de sa famille, notamment sur leur santé, leur origine ethnique et leurs liens biologiques. C’est pourquoi la confiance du public dans ces services est essentielle.

L’enquête conjointe reflète l’engagement des régulateurs à collaborer à la protection du droit fondamental à la vie privée des individus dans toutes les juridictions.

Elle examinera :
1- L’étendue des informations exposées lors de la violation et les préjudices potentiels pour les personnes affectées ;
2- Si 23andMe disposait de garanties suffisantes pour protéger les informations hautement sensibles qu’elle contrôlait ; et
3- Si l’entreprise a notifié de manière adéquate la violation aux deux régulateurs et aux personnes concernées, comme l’exigent les lois canadienne et britannique sur la protection des données.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.