Dernières actualités : données personnelles

UODO (autorité polonaise)

8 octobre 2024

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

4 octobre 2024

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

7 juin 2024

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis. Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée. » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.