Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost

L’autorité en Finlande a aujourd’hui annoncé avoir  imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils en aient fait la demande et cela a été jugé illégal par l’autorité. Cette affaire a commencé par des plaintes concernant la transmission de lettres au service en ligne de la Poste (MyPost, donc)  sans le consentement du client. L’autorité a enquêté et a constaté que la boîte aux lettres électronique était reliée à un ensemble plus large de services, y compris la redirection du courrier et le service « Mon point de retrait ». Le client ne pouvait pas choisir d’utiliser ou non la boîte MyPost parce que les différents services étaient liés dans un seul contrat. De plus, la boîte aux lettres électronique ne pouvait être supprimée sans que les autres services ne le soient également.

« Le client a pu être surpris de constater qu’une boîte aux lettres électronique avait été créée pour lui, alors qu’il avait demandé un autre service. Une personne peut avoir reçu du courrier dans une boîte aux lettres électronique sans le savoir, ce qui peut entraîner des problèmes avec les factures, par exemple », explique Anu Talus, contrôleur de la protection des données.

Un certain nombre de reproches ont ainsi été formulés :
* Les données à caractère personnel ne peuvent être traitées sur le fondement de la base légale du contrat que si elles sont nécessaires à la réalisation de l’objectif principal du contrat. Or, l’autorité a estimé que la souscription à un service particulier ne peut pas exiger que les données à caractère personnel soient également utilisées à d’autres fins, c’est-à-dire pour les autres services.
* La Poste n’a pas informé ses clients de manière suffisamment claire sur l’activation de la boîte électronique. Pire, ils ont été induits en erreur : la Poste mentionnait qu’après l’introduction du service MyPost, ils pourraient encore recevoir des lettres par courrier papier uniquement s’ils le souhaitaient. En réalité, cette option n’était pas disponible.
* Le service MyPost comportait également des paramètres techniques qui ne répondaient pas aux exigences en matière de protection des données. Il s’agissait notamment d’une case à cocher activée automatiquement et d’une case pré-cochée.

Conséquence pour la Poste : une amende de 2,4 millions d’euros et une injonction de se mettre en conformité avec le RGPD. En réponse, la Poste a annoncé qu’elle allait corriger ces paramètres de manière à ce que la réception du courrier uniquement par voie électronique ne soit plus présélectionnée. Selon la Poste, les clients pourront désormais choisir s’ils souhaitent recevoir des copies électroniques de leurs lettres papier dans leur boîte MyPost.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Tietosuoja (autorité finlandaise)

L’autorité finlandaise considère qu’un opérateur de télécommunications a le droit de conserver les données de ses clients mobiles pendant trois ans après la fin de leur abonnement

Suite à une plainte d’un client, l’autorité a enquêté sur la politique de l’opérateur de télécommunications en matière de suppression des données des clients. Le client avait demandé à l’opérateur de télécommunications de supprimer toutes les données personnelles le concernant que l’opérateur avait en sa possession. L’opérateur de télécommunications n’a pas donné suite à cette demande. L’autorité a estimé qu’une période de conservation de trois ans était justifiée parce que les données à caractère personnel peuvent être nécessaires après la fin de la relation avec le client, par exemple en ce qui concerne les dossiers en cours, la facturation ou les réclamations. L’opérateur de télécommunications n’était donc pas obligé de supprimer les données des clients qui avaient été conservées pendant moins de trois ans après la fin de la relation avec le client.

Dans sa décision, l’autorité a également évalué si l’opérateur de télécommunications avait agi illégalement en ne supprimant pas les données datant de plus de trois ans, malgré la demande du client. Les données personnelles en question concernaient une relation client qui avait pris fin plus de dix ans auparavant. Les données n’avaient pas été automatiquement effacées des systèmes informatiques en raison d’une erreur technique et l’opérateur de télécommunications ne les avait pas supprimées, même à la demande du client. Le contrôleur adjoint a adressé un avertissement à l’opérateur de télécommunications pour comportement répréhensible. Selon le règlement général sur la protection des données, les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées.

L’autorité précise néanmoins que cette décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut