Dernières actualités : données personnelles

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD a ordonné à Meta de cesser la mise en œuvre les fonctionnalités électorales qu’elle prévoit de lancer en Espagne

Ce jour, l’Agence espagnole de protection des données (AEPD) a ordonné  à Meta Platforms Ireland Limited de suspendre, immédiatement et en vue des prochaines élections du Parlement européen, le lancement sur le territoire espagnol des fonctionnalités Election Day Information (EDI) et Voter Information Unit (VIU), ainsi que la collecte et le traitement des données liées à leur utilisation. Ces fonctionnalités devraient être lancées pour tous les utilisateurs de ses services habilités à voter aux élections européennes, à l’exception de l’Italie, dont l’autorité de protection des données mène déjà une procédure en cours à ce sujet.

Sur le fond, l’AEPD justifie cette mesure par le fait que que le traitement des données envisagé par l’entreprise est contraire au règlement général sur la protection des données (RGPD), qui, à tout le moins, violerait les principes de protection des données que sont la licéité, la minimisation des données et la limitation de la durée de conservation. En effet, à travers ces deux fonctionnalités, qui consistent à fournir des informations aux utilisateurs de Facebook et d’Instagram sur les élections européennes, Meta entend traiter des données à caractère personnel telles que, entre autres, le nom, l’adresse IP, l’âge et le sexe de l’utilisateur ou des informations sur la manière dont il interagit avec ces fonctionnalités. Or, l’autorité considère que la collecte et la conservation des données prévues par l’entreprise mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations qu’elle collecte à leur sujet, ce qui permettrait un profilage plus complexe, détaillé et exhaustif, et générerait un traitement plus intrusif.

Sur la compétence de l’AEPD, si celle-ci n’est pas – en principe – l’autorité compétente en ce que Meta a son siège européen en Irlande, c’est sans compter sur l’article 66.1 du RGPD prévoyant que « dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée – dans ce cas l’AEPD – considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes, elle peut adopter des mesures provisoires produisant des effets juridiques sur son territoire et dont la durée de validité ne peut excéder trois mois. » En l’occurrence, l’AEPD estime que qu’il est urgent, dans le contexte des élections, d’empêcher  « la collecte de données, le profilage des utilisateurs et le transfert à des tiers, évitant que les données soient utilisées par des inconnus et à des fins non explicites ».

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

AEPD (autorité espagnole)

 Vodafone condamné à payer une amende 200 000€ pour avoir fourni des duplicata de cartes SIM à des escrocs (« SIM swapping »)

Dans cette affaire, l’AEPD estime notamment que « les actions signalées par la plaignante ont été classées comme frauduleuses, en particulier le duplicata de carte SIM non reconnu. Un duplicata de carte SIM a été traité le 6 décembre 2022, géré par téléphone, ainsi qu’une précédente demande de duplicata de carte SIM le 5 décembre 2022, qui est cependant enregistrée comme annulée par la plaignante elle-même ». En conséquence, elle estime que « la diligence employée par Vodafone pour identifier la carte SIM est discutable. En tout état de cause, la procédure de vérification mise en œuvre par Vodafone n’a pas été suivie car, si elle l’avait été, la demande aurait dû être refusée. En vertu du principe de la responsabilité proactive, le responsable du traitement doit être en mesure de démontrer comment il respecte les principes du traitement et des bases de légitimité. principes et les bases de la légitimité. Au vu de ce qui précède, Vodafone ne prouve pas qu’une telle procédure a été suivie, il y a donc eu un traitement illicite des données à caractère personnel du plaignant, en violation de l’article 6 du RGPD. » En conséquence, Vodafone est condamné par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE

Le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE.STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. HUBSIDE.STORE est une société qui procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.). Les données des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société HUBSIDE.STORE ne pouvait donc procéder légalement à ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD). En outre, la formation restreinte a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informés, en violation de l’article 14 du RGPD.

Elle a donc prononcé à son encontre une amende de 525 000 euros rendue publique.

Disponible sur: CNIL.fr

AEPD (autorité espagnole)

L’autorité espagnole de protection des données ordonne une mesure conservatoire qui empêche Worldcoin de continuer à traiter des données à caractère personnel en Espagne.

Par une décision du 6 mars 2024, l’AEPD exige de Worldcoin (outil permettant de créer une identité numérique via l’iris des personnes concernées) la cessation de la collecte et du traitement de données à caractère personnel sensibles (en l’occurrence, biométriques) ainsi que le blocage des données déjà collectées. L’AEPD indique avoir reçu plusieurs plaintes dénonçant des informations insuffisantes, la collecte de données auprès de mineurs et l’impossibilité de retirer son consentement, entre autres infractions. L’AEPD précise que cette décision est basée sur des circonstances exceptionnelles, où il est nécessaire d’adopter des mesures visant à la cessation immédiate des activités de traitement afin d’éviter le transfert éventuel de données à des tiers et de sauvegarder le droit fondamental des personnes à la protection des données à caractère personnel.
Enfin, cette interdiction temporaire d’activité, limitée à l’Espagne, est valable pour une période maximale de trois mois.

[Ajout contextuel Portail RGPD: Si l’article 58 du RGPD donne effectivement aux autorités de contrôle le pouvoir « d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement », il s’agit jusqu’à présent d’une possibilité qui n’a été que très peu utilisée, probablement au regard des conséquences qu’elle peut avoir sur l’activité économique de la société concernée et/ou sur la liberté d’entreprendre. Cela pourrait expliquer pourquoi l’AEPD a tenu à préciser que des « circonstances exceptionnelles » sont à l’origine de cette décision.]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

Retour en haut