Dernières actualités : données personnelles

Escroquerie aux données bancaires en période estivale : comment se protéger ?

Régulièrement, la CNIL communique sur des violations de données inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques de violation de données. La façon de procéder présentée dans ce document reflète l’organisation mise en œuvre par le responsable de traitement ayant servi d’inspiration à ce cas d’usage.

Disponible sur: CNIL.fr

Marché en ligne et exercice des droits des personnes : sanction de 2.3 millions d’euros à l’encontre de VINTED

Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276  millions d’euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme. VINTED propose une plateforme de marché en ligne communautaire qui permet à ses 50 millions d’utilisateurs actifs mensuels dans le monde de vendre, d’acheter et d’échanger des vêtements et accessoires d’occasion.

Dès 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. Cette thématique a  d’ailleurs fait l’objet d’un article de la CNIL en novembre 2021 qui a annoncé l’ouverture de contrôles. En application des procédures de coopération instaurées par le RGPD, c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie.

L’enquête menée a permis confirmer les faits reprochés à VINTED par les plaignants :
* L’entreprise n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. En particulier, la société ne justifiait pas les raisons de ses refus et refusait des requêtes  « au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD » ;
* L’entreprise n’a pas non plus été en capacité de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
* Enfin, l’entreprise a mis en œuvre le « bannissement furtif » ou « shadow banning » en anglais de manière illicite, notamment sans en informer les utilisateurs.

Le « shadow banning » est une méthode de bannissement très pratiquée par les éditeurs de jeux vidéos en ligne et consistant à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur ne respectant pas les règles de la plateforme sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Dans leurs communiqués, la CNIL et l’autorité lituanienne expriment des positions similaires sur cette pratique.
La CNIL explique ainsi que « bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

[Ajout contextuel Portail RGPD: Bien que les autorités ont été prudentes en ne prononçant pas une interdiction de principe de la pratique du « shadow banning » (qui aurait probablement été retoquée pour excès de pouvoir), il s’agit là d’une décision qui pourrait la remettre en cause de manière générale, dans la mesure où tout son intérêt porte sur le fait que l’utilisateur n’en est pas informé : en effet, son objectif n’est en réalité pas tant d’éviter la commission d’un comportement (ce qui peut effectivement être atteint par le blocage complet), mais plutôt d’éviter que l’utilisateur recrée un compte aussitôt après avoir été bloqué afin de poursuivre son comportement fautif. Dès lors, si une information générale a priori n’est pas considérée comme suffisante par les autorités (ce qui semble être le cas au regard des communiqués), la pratique perdrait une grande partie de son intérêt, ce qui risquerait de pousser les responsables de traitement à traiter beaucoup plus de données afin d’éviter la création de nouveaux comptes.]

Disponible sur: CNIL.fr. L’article de l’autorité lituanienne est également disponible (en anglais).

Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit.

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées. Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Ces recommandations sont notamment composées des fiches pratiques suivantes:
* Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?
* Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?

Disponible sur: CNIL.fr

« Tes données, tes droits », une affiche franco-coréenne pour sensibiliser les jeunes

Dans le cadre du partenariat entre la CNIL et la PIPC (autorité de protection des données de la Corée du Sud) mis en place en 2022, l’affiche « Tes données, tes droits » réalisée dans le style manhwa vise à informer les jeunes de ce qu’ils peuvent faire pour protéger leur vie privée en ligne

Disponible sur: CNIL.fr

Vol de matériels et détournement de services dans le cadre scolaire : comment gérer les violations de données ?

Régulièrement, la CNIL communique sur des violations de données typiques inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données par des tiers en présentant un exemple de réaction appropriée.

Disponible sur: CNIL.fr