Dernières actualités : données personnelles

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (via Euractif)

L’autorité irlandaise saisit la justice au sujet du traitement des données pour l’entraînement à l’IA

La Commission irlandaise de protection des données (DPC) a entamé une procédure judiciaire contre la plateforme de médias sociaux X mardi (6 août), selon le site web de la Haute Cour d’Irlande. La plainte porte sur le traitement des données des utilisateurs pour Grok, un modèle d’intelligence artificielle (IA), a rapporté l’Irish Examiner mercredi. Le compte Global Government Affairs de X a indiqué que le rapport était correct dans un message publié le 7 août.

Grok a été développé par xAI, une entreprise fondée par Elon Musk, propriétaire de X, et utilisé comme assistant de recherche pour les comptes premium sur la plateforme de médias sociaux. Entre autres choses, le DPC demande au tribunal d’ordonner à X d’arrêter ou de restreindre le traitement des données des utilisateurs pour former ses systèmes d’IA, a rapporté l’Irish Examiner, qui a également écrit que le DPC prévoyait de renvoyer l’affaire au Conseil européen de la protection des données (EDPB) pour un examen plus approfondi.

L’EPDB a déclaré à Euractiv que le DPC irlandais n’avait pas encore renvoyé l’affaire au conseil de l’UE.

Disponible (en anglais) sur: euractiv.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Reconnaissance faciale : l’autorité italienne sanctionne un concessionnaire qui l’utilisait pour du contrôle des temps de travail (120 000 euros d’amende)

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction d’un concessionnaire automobile (dont nous ne connaissons pas l’identité) pour avoir violé les données personnelles de ses employés en utilisant des systèmes de reconnaissance faciale pour contrôler les présences sur le lieu de travail. L’autorité est intervenue à la suite d’une plainte déposée par un employé dénonçant le traitement illicite de données à caractère personnel au moyen d’un système biométrique installé dans les deux unités de production de l’entreprise. La plainte dénonçait également l’utilisation d’un logiciel de gestion avec lequel chaque employé devait enregistrer les travaux de réparation effectués sur les véhicules qui lui étaient attribués, l’heure et la manière dont les travaux avaient été effectués, ainsi que les temps d’arrêt avec des raisons spécifiques.

L’enquête menée par l’autorité pour faire suite à cette plainte, réalisée en coopération avec d’autres autorités, ont révélé de nombreuses violations du règlement européen par la société. Dans sa newsletter, l’autorité met en particulier en lumière les deux éléments suivants :

* En ce qui concerne le traitement des données biométriques, l’autorité a réitéré une fois de plus que l’utilisation de ces données n’est pas autorisée parce qu’aucune disposition légale n’envisage actuellement l’utilisation de données biométriques pour l’enregistrement des présences. Par conséquent, l’Autorité a rappelé que même le consentement donné par les employés ne peut être considéré comme une condition préalable à la légalité, en raison de l’asymétrie entre les parties respectives à la relation de travail.

* Depuis plus de six ans, le concessionnaire utilisait un logiciel de gestion pour collecter des données personnelles sur les activités des employés afin d’établir des rapports mensuels à envoyer à la société mère, contenant des données agrégées sur le temps passé par les ateliers sur le travail effectué. Tout cela en l’absence d’une base juridique appropriée et d’une information adéquate qui, dans le cadre de la relation de travail, est l’expression du principe d’équité et de transparence. En conséquence, en plus de sanctionner la société, l’autorité lui a donc ordonné de mettre le traitement des données effectué par le biais du logiciel de gestion en conformité avec les dispositions de la réglementation relative à la protection des données personnelles.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

Retour en haut