Dernières actualités : données personnelles

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

AEPD (autorité espagnole)

Espagne : sanction d’un établissement de crédit pour traitement illicite après une usurpation d’identité

La semaine dernière, l’autorité espagnole (AEPD) a publié une sanction à l’encontre de la société Wenance Lending de España, S.A. (WELP ou WENANCE), une société de prêt en ligne, par laquelle elle prononce une amende de plus de 70 000 euros. pour violation de l’article 6 du RGPD selon lequel le traitement n’est licite que si une base légale appropriée est applicable.

Comme souvent, cette affaire commence avec la réclamation d’une personne, en l’occurrence, pour un traitement illégal de données personnelles. Le plaignant déclare que le 21 août 2020, il a vu une offre d’emploi sur le site web « milanuncios ». L’annonce indiquait le numéro de téléphone à contacter. Après avoir contacté ce numéro, le plaignant affirme avoir envoyé un selfie de lui-même avec une photo du recto et du verso de sa carte d’identité.
Peu de temps après, il dépose une réclamation affirmant que WELP lui impute une dette qui ne lui correspond pas, puisqu’elle découle de la contraction d’un prêt qui aurait été contracté frauduleusement le même jour.

L’AEPD ouvre une enquête au cours de laquelle il a été constaté que la procédure d’octroi du crédit établie par la défenderesse, en fonction du montant de la créance, était la suivante :
a) Remplir le formulaire de demande en indiquant vos données personnelles.
b) Soumission de la  photo de la pièce d’identité, recto et verso, selfie avec carte d’identité à la main, justificatif de revenus et copie du dernier bulle

[Ajout contextuel Portail RGPD: Autrement dit, l’arnaque était bien ficelée et visait à obtenir précisément ces éléments, ou en tout cas suffisamment afin de pouvoir falsifier le reste aisément.]

L’enquête a par ailleurs confirmé que le compte bénéficiant du prêt n’appartient pas au plaignant mais à une autre personne avec date d’enregistrement 20/08/2020 et date de radiation 15/01/2021. Le compte a été créé le 20 août 2020, un jour avant la conclusion du prêt faisant l’objet de la plainte. Il a été vérifié que l’adresse électronique et le numéro de téléphone utilisés pour contracter le prêt et qui apparaissent dans les bases de données de WELP ne coïncident pas avec l’adresse électronique et le numéro de téléphone que la Banque SANTANDER possède dans ses bases de données et que le plaignant a utilisés pour contacter WELP. Par ailleurs, WELP n’a pas fourni la preuve de la propriété du compte bancaire qu’elle était censée avoir vérifié manuellement pour contracter le prêt.

Compte tenu de ces éléments, l’autorité espagnole considère que le traitement des données à caractère personnel de la plaignante par WENANCE, qui a enregistré un contrat de crédit à la consommation en son nom, n’était couvert par
aucune des bases juridiques énoncées à l’article 6 du RGPD. Elle estime ainsi que la banque a procédé à un traitement illicite de données à caractère personnel et l’a condamné à une amende.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Espagne : 70 000 euros d’amende pour le partage d’images de vidéosurveillance sur Wechat

Le 21 juin 2024, l’autorité espagnole a publié une sanction à l’encontre d’une entreprise agroindustrielle CUI ZSQ FOOD pour avoir traité des données à caractère personnel d’un employé sans base légale, et pour ne pas avoir suffisamment garanti la confidentialité de ces données : en l’occurrence, à l’occasion d’un détournement de finalité par un employé de la société. Le 12 décembre 2022, une plainte est déposée par une personne qui déclare « qu’elle travaille chez le défendeur et que ses installations disposent d’un système de vidéosurveillance qui a été utilisé par l’entreprise, lorsqu’une personne est absente du travail pendant 18 minutes, pour menacer les employés par le biais d’un groupe sur l’application de téléphonie mobile WE CHAT, en montrant deux vidéos faisant allusion à la période d’absence de ladite personne. La plainte est accompagnée d’une copie des vidéos postées dans le chat et d’images du chat, en chinois, et d’une traduction en espagnol par un traducteur-interprète chinois assermenté. »  L’enquête de l’AEPD a d’abord conclu à la clôture de la plainte : l’entreprise arguait en effet qu’il n’était pas possible d’identifier une personne et qu’aucun travailleur n’a été puni ou réprimandé pour cet évènement mais aussi que c’était une réaction à chaud de la personne chargée du suivi de la protection (au regard du préjudice pour l’entreprise).

Toutefois, la plaignante réouvre l’affaire à l’occasion d’un recours et a obtenu gain de cause, l’AEPD estimant que « la diffusion dans une application de messagerie d’une vidéo dans laquelle une personne de sexe féminin est identifiée dans son environnement de travail, temporairement absente de son poste et revenant quelques minutes plus tard, sans qu’il existe une base légale pour un tel traitement, est contraire à la réglementation en matière de protection des données. » L’AEPD a également estimé que « la confidentialité des données personnelles du travailleur susmentionné et des autres employés visibles dans l’enregistrement a été violée » du fait de cette diffusion.
En conséquence, l’entreprise a été condamnée à payer une amende de 70 000 euros, qui peut être réduite à 42 000 euros en cas de paiement volontaire et en cas de reconnaissance de responsabilité (ce qui n’est pas le cas à ce jour).

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transmission d’une adresse postale incomplète au fichier des incidents bancaires : une banque espagnole condamnée à une amende de 200 000 euros

Il y a quelques jours, une banque espagnole s’est vue condamnée à payer une amende de 200 000 euros en raison de manquements au principe d’exactitude des données. Cette affaire commence avec un incident bancaire comme il en arrive tous les jours, en l’occurrence en raison d’un solde débiteur sur la carte de crédit de la personne : conformément aux procédures en vigueur, la banque espagnole a signalé cet incident auprès du fichier recensant de telles incidents. Néanmoins, l’adresse communiquée par la banque au gestionnaire du fichier n’était pas « l’adresse exacte du défendeur, et était incomplète ».

Le particulier qui a découvert le pot-au-roses à l’occasion de demandes de crédit, a ainsi déposé une plainte. L’enquête de l’AEPD a montré que la notification d’inscription au fichier des incidents n’avait pas pu être délivrée par les services postaux et était revenue pour raison de « signes incorrects ». Malgré cela, la banque a indiqué au gestionnaire de fichier que l’adresse était bien correcte sans avoir au préalable vérifié auprès de leur client.
Il est notable que cette erreur a eu des conséquences importantes sur le plaignant en raison du refus de ses demandes de crédit, ce qui ne serait peut-être pas arrivé si cette inexactitude avait été corrigée : en effet, la procédure veut qu’avant l’inscription au fichier des incidents bancaires, des demandes de paiement soient envoyées au client : celles-ci n’ont peut-être pas été reçues, même si la banque a signalé lors de l’enquête que les lettres n’avaient pas été retournées. Cela étant dit, il est d’usage de « nettoyer » ses comptes avant de faire des demandes de crédit (afin d’augmenter ses chances), de telle sorte que cette dette aurait probablement été payée si le client en avait eu connaissance.

Quoi qu’il en soit, cette erreur a couté cher à la banque puisque l’AEPD estime que «  » le fait que le défendeur n’ait pas fourni l’adresse exacte du demandeur a causé un grave préjudice à ce dernier, car il n’a pas pu avoir connaissance de son inscription au fichier de solvabilité, étant donné que l’avis d’inscription au fichier de solvabilité a été envoyé à une adresse électronique inexacte, qui n’avait pas été mise à jour par le défendeur, ce qui entraîne une violation du
principe d’exactitude régi par l’article 5.1 d) du RGPD. » La banque a ainsi été condamnée à une amende de 200 000 euros mais n’en a finalement payé « que » 120 000 : la société a reconnu sa responsabilité et a ainsi pu bénéficier d’une réduction, et d’une autre réduction appliquée dans le cas d’un paiement volontaire.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Conseil d’Etat

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

CNIL

La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée

Minimisation des données, cookies, traitements illicites, sécurité des données ou encore non coopération et non réponse à une demande d’exercice des droits : les neuf nouvelles sanctions confirment la diversité des manquements sanctionnés par la CNIL dans le cadre de sa procédure simplifiée. Minimisation des données, cookies, traitements illicites, sécurité des données ou encore non coopération et non réponse à une demande d’exercice des droits : les neuf nouvelles sanctions confirment la diversité des manquements sanctionnés par la CNIL dans le cadre de sa procédure simplifiée.

Disponible sur: CNIL.fr

Retour en haut