Dernières actualités : données personnelles

La Quadrature du Net

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

NOYB – None of your business

Voici une idée, Pinterest : Demandez le consentement des utilisateurs avant de les suivre !

Aujourd’hui, NOYB a déposé une plainte contre la plateforme de médias sociaux Pinterest. La plupart des utilisateurs la connaissent probablement comme un tableau d’humeur visuel et l’utilisent pour trouver des idées et de l’inspiration. Les annonceurs, quant à eux, utilisent la plateforme pour promouvoir leurs produits auprès des consommateurs. Sans surprise, le modèle économique de Pinterest repose également sur la publicité personnalisée et le suivi des utilisateurs qui y est associé. Le problème : malgré un arrêt de la CJUE interdisant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement. Pinterest prétend faussement avoir un « intérêt légitime » et active le suivi par défaut. La plupart des autres sites web ont abandonné cet argument juridiquement erroné depuis des années.

Pinterest Header

Disponible sur: noyb.eu

AEPD (autorité espagnole)

Espagne : 100 000 euros d’amende pour un transfert intra-groupe illicite

Ce vendredi 18 octobre, l’AEPD a publié une décision de sanction à l’encontre d’une société pour avoir réalisé un transfert de données personnelles intra-groupe sans base légale.
Le 13 avril 2023, un plaignant a déposé une réclamation auprès de l’Agence Espagnole de Protection des Données (AEPD) contre CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO, S.A.U. pour avoir transmis ses données personnelles sans son consentement à une autre société appartenant au même groupe, Iberdrola Clientes.Le plaignant a indiqué avoir contacté Curenergía pour conclure un contrat d’électricité, mais ses données (y compris son NIF, IBAN, nom, adresse et autres) ont été utilisées pour établir un contrat avec Iberdrola Clientes, une société avec laquelle il n’avait jamais eu de relation commerciale.

L’enquête menée par l’AEPD a révélé qu’il y avait eu une erreur de la part de Curenergía dans la gestion du contrat avec le plaignant. En effet, le même centre d’appel était utilisé par les deux sociétés et, lors du traitement de la demande du plaignant, une confusion a entraîné l’envoi des données personnelles du plaignant à Iberdrola Clientes, ce qui a abouti à l’élaboration d’un contrat erroné. Curenergía a reconnu l’erreur et l’a rectifiée rapidement après que le plaignant a signalé le problème.

Néanmoins, l’AEPD a considéré que Curenergía avait enfreint l’article 6(1) du RGPD en traitant les données du plaignant sans base légale appropriée. L’autorité a infligé à Curenergía une amende de 100 000 €, avec possibilité de réduction en cas de paiement volontaire et de reconnaissance de responsabilité. Curenergía a choisi de payer l’amende réduite à 60 000 €.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

« Ils ne l’ont pas vu venir ! » : sanctions de 250 000 et 150 000 euros à l’encontre des sociétés de voyance en ligne COSMOSPACE et TELEMAQUE

Le 26 septembre 2024, la CNIL a sanctionné les sociétés COSMOSPACE et TELEMAQUE (entreprises proposant des services de voyance à distance), notamment pour avoir conservé des données personnelles de manière excessive, collecté des données sensibles sans consentement valable, et pour avoir manqué aux règles encadrant les opérations de prospection commerciale.

Les contrôles réalisés par la CNIL en 2021 ont permis de révéler plusieurs manquements, concernant la collecte de données sensibles sans consentement préalable et explicite (données de santé et données relatives à l’orientation sexuelle notamment), la conservation des données pendant une durée excessive, l’envoi de messages de prospection à des personnes n’ayant pas manifesté leur consentement ainsi que, s’agissant de la société COSMOSPACE, l’enregistrement systématique des appels téléphoniques.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 250 000 euros à l’encontre de COSMOSPACE et de 150 000 euros à l’encontre de la société TELEMAQUE. Ces amendes ont été adoptées en coopération avec une quinzaine d’homologues européens de la CNIL dans les deux cas. Le montant de ces amendes a notamment été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées – la base de données commune aux deux sociétés contenant les données de plus d’1,5 million de personnes – ainsi que de la sensibilité des données traitées. La situation financière des sociétés, et leur structure, ont également été prises en compte, pour retenir des amendes dissuasives mais proportionnées.

Disponible sur: CNIL.fr

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Retour en haut