Dernières actualités : données personnelles

ICO (autorité anglaise)

L’ICO publie un guide visant à améliorer la transparence dans le domaine de la santé et des soins sociaux

Faisant suite à une consultation publique réalisée fin 2023 / début 2024, le régulateur britannique de la protection des données a publié un nouveau guide afin d’apporter une certitude réglementaire sur la manière dont ces organismes de santé et d’aide sociale doivent tenir les personnes correctement informées. En effet, les secteurs de la santé et de l’aide sociale traitent régulièrement des informations sensibles sur les aspects les plus intimes de la santé d’une personne, qui sont communiquées en toute confidentialité à des praticiens de confiance. En vertu de la loi sur la protection des données, les personnes ont le droit de savoir ce qu’il advient de leurs informations personnelles, ce qui est particulièrement important lorsqu’il s’agit d’accéder à des services vitaux.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’autorité anglaise sollicite des avis sur la précision des modèles génératifs d’IA afin de mettre à jour ses guides

L’Information Commissioner’s Office (ICO) a lancé le dernier volet de sa série de consultations sur la manière dont la loi sur la protection des données s’applique au développement et à l’utilisation de l’IA générative. La troisième consultation de la série porte sur la manière dont le principe d’exactitude de la protection des données s’applique aux résultats des modèles d’IA générative et sur l’impact que des données d’entraînement exactes ont sur les résultats. En effet, lorsque des personnes s’appuient à tort sur des modèles d’IA générative pour fournir des informations factuelles exactes sur des personnes, il peut en résulter des informations erronées, des atteintes à la réputation et d’autres préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

La CNIL italienne adresse un avertissement à la Worldcoin Foundation avant même qu’elle ne commence le déploiement de son traitement de données biométriques via ses ORB en Italie

Alors que la société Worldcoin, dont le traitement consiste à enregistrer l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie du même nom, a d’ores et déjà fait l’objet d’une interdiction en Espagne et au Portugal quelques semaines plus tard – celle-ci poursuit son déploiement petit à petit, la CNIL italienne a décidé de prendre les devants en avertissant la société qu’il s’agirait probablement d’un traitement contraire au RGPD :

« Conformément à l’article 58, paragraphe 2, point a), du règlement et à l’article 154, paragraphe 1, point f), du code, avertit la Worldcoin Foundation, dont le siège social est situé Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Îles Caïmans, en sa qualité de responsable du traitement des données à caractère personnel, que le traitement des données biométriques qui sera effectué en Italie, par l’intermédiaire des ORB et de la manière décrite ci-dessus, est susceptible d’enfreindre les dispositions du règlement« .

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

La société NTT Data a été condamnée à une amende de 800 000 euros pour avoir engagé un sous-traitant secondaire sans l’autorisation préalable du responsable du traitement et pour avoir notifié tardivement une violation de données au responsable du traitement.

Dans une décision n°9991064 en date du 08 février 2024, l’autorité de protection des données a condamné la société NTT Data Italia S.p.A, en sa qualité de sous-traitant, notamment pour ne pas avoir informé le responsable de traitement suffisamment rapidement à l’occasion de la découverte d’une violation, ce qui a empêché le responsable de traitement de réaliser la notification adéquate dans les 72h.
Le déroulé des faits est le suivant:
– Le 10 octobre, le sous-traitant ultérieur a pris connaissance des vulnérabilités du portail mobile
– Il les a identifiées comme étant de haut niveau. Il les a signalées au sous-traitant initial le 19 octobre 2018
– Le sous-traitant ne les a ensuite signalées au responsable du traitement que le 22 octobre 2018.

Traduction par machine du point 4. c) de la décision de l’autorité :
« À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est  » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures « .
Il en va de même lorsque, comme en l’espèce, un responsable du traitement fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte d’un responsable du traitement ; l’obligation d’informer le responsable du traitement prévue par l’article 33, paragraphe 1, de la directive sur le traitement des données à caractère personnel s’applique également lorsque le responsable du traitement fait appel à un sous-traitant ultérieur reste à la charge du sous-traitant initial, qui n’est pas tenu d’évaluer le risque dérivant de la violation, avant de le communiquer au responsable du traitement […].
En l’espèce, NTT Data aurait donc dû informer le responsable du traitement de la violation de données à caractère personnel sans délai, c’est-à-dire à partir des 11 et 12 octobre 2018, date à laquelle elle en a eu connaissance par l’intermédiaire de Truel IT [alors que Truel IT n’a informé le sous-traitant initial que le 19 octobre]. »

[Ajout contextuel Portail RGPD: Selon l’autorité italienne, il doit donc être considéré qu’un sous-traitant initial a découvert une violation dès lors que l’un de ses sous-traitants ultérieurs a réalisé une telle découverte, même dans le cas où ce premier n’en a pas été informé – ou ne l’a été que bien plus tard. Bien que logique puisqu’une interprétation contraire ne permettrait pas de respecter le délai de « 72h à compter de la découverte » prévu par le RGPD pour les traitements, une telle interprétation
* fait peser de lourds risques sur les sous-traitants initiaux, qui devront imposer des délais difficilement tenables à leurs éventuels sous-traitants ultérieurs afin que le responsable de traitement puisse tenir ses délais (en particulier si les sous-traitants ultérieurs ont eux-mêmes des sous-traitants),
* oblige à réduire les chaines de sous-traitance autant que possible afin d’éviter de se trouver dans une situation similaire.]

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’autorité espagnole de protection des données ordonne une mesure conservatoire qui empêche Worldcoin de continuer à traiter des données à caractère personnel en Espagne.

Par une décision du 6 mars 2024, l’AEPD exige de Worldcoin (outil permettant de créer une identité numérique via l’iris des personnes concernées) la cessation de la collecte et du traitement de données à caractère personnel sensibles (en l’occurrence, biométriques) ainsi que le blocage des données déjà collectées. L’AEPD indique avoir reçu plusieurs plaintes dénonçant des informations insuffisantes, la collecte de données auprès de mineurs et l’impossibilité de retirer son consentement, entre autres infractions. L’AEPD précise que cette décision est basée sur des circonstances exceptionnelles, où il est nécessaire d’adopter des mesures visant à la cessation immédiate des activités de traitement afin d’éviter le transfert éventuel de données à des tiers et de sauvegarder le droit fondamental des personnes à la protection des données à caractère personnel.
Enfin, cette interdiction temporaire d’activité, limitée à l’Espagne, est valable pour une période maximale de trois mois.

[Ajout contextuel Portail RGPD: Si l’article 58 du RGPD donne effectivement aux autorités de contrôle le pouvoir « d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement », il s’agit jusqu’à présent d’une possibilité qui n’a été que très peu utilisée, probablement au regard des conséquences qu’elle peut avoir sur l’activité économique de la société concernée et/ou sur la liberté d’entreprendre. Cela pourrait expliquer pourquoi l’AEPD a tenu à préciser que des « circonstances exceptionnelles » sont à l’origine de cette décision.]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut