Dernières actualités : données personnelles

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Les résultats du Sweep, réalisé par le Global Privacy Enforcement Network (GPEN) et  dont la Garante italienne est membre, ont été publiés

Dans sa newsletter du 13 septembre, l’autorité italienne revient sur les résultats de l’enquête du GPEN. Globalement, il est estimé que les utilisateurs de sites web et d’applications rencontrent encore trop d’obstacles lorsqu’ils doivent gérer les cookies ou supprimer leur compte. Les politiques de confidentialité, en revanche, sont faciles à lire et facilement accessibles. En effet, 26 autorités de protection des données du GPEN ont passé au crible, entre le 29 janvier et le 2 février, 899 sites web et 111 applications et ont identifié, dans 97 % des cas, la présence d’au moins un type de conception trompeuse. Parmi les indicateurs pris en considération, citons : l’utilisation d’un langage complexe et déroutant dans les divulgations, l’inclusion d’étapes supplémentaires et inutiles, l’introduction d’éléments de conception pour influencer la perception des options de confidentialité, et la demande d’informations personnelles excessives pour accéder à un service.

L’attention du garant italien de la protection de la vie privée s’est portée sur 50 sites web de « comparateurs » de services et de produits et concernait les bannières de cookies et la manière dont les comptes d’utilisateurs peuvent être supprimés. Dans plus de 60 % des cas, les bannières affichaient avec plus d’insistance l’option la moins favorable à la vie privée des utilisateurs ; dans près de 40 % des cas, l’utilisateur était contraint de suivre plusieurs étapes pour rejeter cette option ; dans un plus petit nombre de cas (environ 30 %), aucune autre option n’était présentée, hormis l’acceptation de tous les cookies. En outre, la  suppression d’un compte d’utilisateur présentait aussi souvent des difficultés en raison de l’absence d’une fonctionnalité de suppression spécifique, du nombre excessif de clics pour y parvenir, de la demande d’informations personnelles excessives et de l’utilisation d’un langage visant à dissuader l’utilisateur.

Disponible sur: privacyenforcement.net
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Selon l’autorité italienne, le RGPD s’applique également à Wikipédia

Dans sa newsletter du 06 juin, à la suite d’une plainte déposée par un intéressé qui n’avait pas vu satisfaite sa demande de suppression d’un article biographique, relatif à une affaire judiciaire,  l’autorité rappelle que le traitement des données à caractère personnel effectué par Wikipédia relève du RGPD ainsi que des règles relatives au journalisme et à l’expression de la pensée s’appliquent au contenu publié. Pour réaliser cette conclusion alors même que la société éditrice de l’encyclopédie n’a pas d’établissement au sein de l’Union, l’autorité italienne a estimé que « Wikipédia n’offre pas seulement un service d’information sur une grande variété de sujets, mais s’adresse également au marché européen, comme le démontrent le pilotage et la vérification constants par la Fondation des standards de qualité des contenus adressés à la communauté et la création de versions du site dédiées aux utilisateurs d’un ou de plusieurs États membres. » De cette manière, explique la Garante, “l‘exigence d’intentionnalité dans la prestation de services qui permet d’appliquer le RGPD à un responsable de traitement établi dans un pays tiers sans établissement dans l’UE est remplie”.

Malgré cela, l’autorité a rejeté la demande d’annulation de la personne concernée au motif que le traitement de données à caractère personnel à des fins journalistiques, même sans consentement, qui est licite s’il respecte les droits et la dignité des personnes et le principe du caractère essentiel de l’information. De même, elle estime licite le fait que que l’article reste dans les archives des encyclopédies en ligne : les archives des sites web et des journaux, y compris ceux qui sont imprimés, jouent un rôle important dans la reconstitution historique des événements. Toutefois, la Garante a ordonné la désindexation de l’article. La présence en ligne de la page annulerait en effet le bénéfice « reconnu par la loi visant à limiter la connaissance de la condamnation de moins de deux ans subie par une personne donnée, serait en effet réduit à néant si le responsable du traitement était autorisé à poursuivre le traitement des données du plaignant en les mettant à disposition sur le web, portant ainsi atteinte à la sphère de confidentialité de la personne concernée ». Par ailleurs, l’autorité note « qu’il ne semble pas y avoir, à l’heure actuelle, de raisons spécifiques d’intérêt public justifiant le maintien de l’article en question en dehors des archives du site ; »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

L’une des premières sanctions en lien avec les Paywalls revient au site internet Motorsport, condamné à 5000 euros d’amende

Le 14 mai 2024, en conséquence de « lacunes dans la politique de cookies du site, à savoir l’utilisation de cookies non techniques sans le consentement de l’utilisateur, l’impossibilité de les refuser ou de les gérer de manière granulaire et l’impossibilité de retirer le consentement une fois qu’il a été donné « , l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et une sanction de 5000 euros a été prononcée. Selon la LSSI telle que citée par l’AEPD, l’amende maximale encourue par la société pour cette infraction était de 30 000 euros.

Faisant suite à une plainte du 22 mai 2023 au motif que la société éditant le site utilisait une forme illégale de consentement aux cookies sur son site web en vous obligeant à accepter les cookies pour accéder gratuitement au contenu ou à vous abonner moyennant paiement si vous ne souhaitez pas que des cookies soient installés, les enquêteurs de l’AEPD ont découvert que :  « Si vous souhaitez refuser tous les cookies […], vous constaterez que le site web continue à utiliser les cookies détectés au début de la navigation. Aussi, une fois que vous avez confirmé vos préférences (sans avoir donné votre consentement à l’utilisation de cookies), le site web affiche une nouvelle bannière d’information indiquant qu’il n’y a que deux possibilités pour continuer à naviguer sur le site web : soit vous acceptez tous les cookies au préalable, soit vous devez devenir membre moyennant une cotisation mensuelle (où il est assuré, selon les informations fournies dans la bannière, qu’aucun cookie ne sera installé).
En outre, en cas de tentative de retrait du consentement, le site web réaffichait la bannière d’information dans laquelle il était uniquement possible d’accepter ou de « devenir membre » en payant une redevance mensuelle, rendant de facto impossible le retrait du consentement. »

[Ajout contextuel Portail RGPD: Cette sanction fait suite aux récentes lignes directrices publiées par le CEPD en la matière, et selon lesquelles le  CEPD considère que dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. Cette sanction est à notre connaissance la première en la matière et pourrait servir d’avertissement pour tout l’écosystème. ]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut