Dernières actualités : données personnelles

La Quadrature du Net

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

DPC (autorité irlandaise)

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Voici une idée, Pinterest : Demandez le consentement des utilisateurs avant de les suivre !

Aujourd’hui, NOYB a déposé une plainte contre la plateforme de médias sociaux Pinterest. La plupart des utilisateurs la connaissent probablement comme un tableau d’humeur visuel et l’utilisent pour trouver des idées et de l’inspiration. Les annonceurs, quant à eux, utilisent la plateforme pour promouvoir leurs produits auprès des consommateurs. Sans surprise, le modèle économique de Pinterest repose également sur la publicité personnalisée et le suivi des utilisateurs qui y est associé. Le problème : malgré un arrêt de la CJUE interdisant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement. Pinterest prétend faussement avoir un « intérêt légitime » et active le suivi par défaut. La plupart des autres sites web ont abandonné cet argument juridiquement erroné depuis des années.

Pinterest Header

Disponible sur: noyb.eu

AEPD (autorité espagnole)

Espagne : 100 000 euros d’amende pour un transfert intra-groupe illicite

Ce vendredi 18 octobre, l’AEPD a publié une décision de sanction à l’encontre d’une société pour avoir réalisé un transfert de données personnelles intra-groupe sans base légale.
Le 13 avril 2023, un plaignant a déposé une réclamation auprès de l’Agence Espagnole de Protection des Données (AEPD) contre CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO, S.A.U. pour avoir transmis ses données personnelles sans son consentement à une autre société appartenant au même groupe, Iberdrola Clientes.Le plaignant a indiqué avoir contacté Curenergía pour conclure un contrat d’électricité, mais ses données (y compris son NIF, IBAN, nom, adresse et autres) ont été utilisées pour établir un contrat avec Iberdrola Clientes, une société avec laquelle il n’avait jamais eu de relation commerciale.

L’enquête menée par l’AEPD a révélé qu’il y avait eu une erreur de la part de Curenergía dans la gestion du contrat avec le plaignant. En effet, le même centre d’appel était utilisé par les deux sociétés et, lors du traitement de la demande du plaignant, une confusion a entraîné l’envoi des données personnelles du plaignant à Iberdrola Clientes, ce qui a abouti à l’élaboration d’un contrat erroné. Curenergía a reconnu l’erreur et l’a rectifiée rapidement après que le plaignant a signalé le problème.

Néanmoins, l’AEPD a considéré que Curenergía avait enfreint l’article 6(1) du RGPD en traitant les données du plaignant sans base légale appropriée. L’autorité a infligé à Curenergía une amende de 100 000 €, avec possibilité de réduction en cas de paiement volontaire et de reconnaissance de responsabilité. Curenergía a choisi de payer l’amende réduite à 60 000 €.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

« Ils ne l’ont pas vu venir ! » : sanctions de 250 000 et 150 000 euros à l’encontre des sociétés de voyance en ligne COSMOSPACE et TELEMAQUE

Le 26 septembre 2024, la CNIL a sanctionné les sociétés COSMOSPACE et TELEMAQUE (entreprises proposant des services de voyance à distance), notamment pour avoir conservé des données personnelles de manière excessive, collecté des données sensibles sans consentement valable, et pour avoir manqué aux règles encadrant les opérations de prospection commerciale.

Les contrôles réalisés par la CNIL en 2021 ont permis de révéler plusieurs manquements, concernant la collecte de données sensibles sans consentement préalable et explicite (données de santé et données relatives à l’orientation sexuelle notamment), la conservation des données pendant une durée excessive, l’envoi de messages de prospection à des personnes n’ayant pas manifesté leur consentement ainsi que, s’agissant de la société COSMOSPACE, l’enregistrement systématique des appels téléphoniques.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 250 000 euros à l’encontre de COSMOSPACE et de 150 000 euros à l’encontre de la société TELEMAQUE. Ces amendes ont été adoptées en coopération avec une quinzaine d’homologues européens de la CNIL dans les deux cas. Le montant de ces amendes a notamment été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées – la base de données commune aux deux sociétés contenant les données de plus d’1,5 million de personnes – ainsi que de la sensibilité des données traitées. La situation financière des sociétés, et leur structure, ont également été prises en compte, pour retenir des amendes dissuasives mais proportionnées.

Disponible sur: CNIL.fr

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Retour en haut