Dernières actualités : données personnelles

AP (autorité néerlandaise)

Amende de 600 000 euros pour des cookies de suivi non conformes sur le site internet Kruidvat

L’Autorité des données personnelles (AP) a imposé une amende de 600 000 euros à la société derrière la droguerie Kruidvat pour avoir suivi les visiteurs de leur site internet avec des cookies de suivi à leur insu et sans leur consentement. La société à l’origine de Kruidvat, AS Watson (Health & Beauty Continental Europe), a en outre collecté ces données auprès des visiteurs du site web afin de créer des profils personnels de ces personnes.
Effectivement, outre les données de localisation des visiteurs (tracée via l’adresse IP du visiteur unique), ces données comprenaient les pages qu’ils avaient visitées, les produits qu’ils avaient ajoutés à leur panier et achetés, ainsi que les recommandations sur lesquelles ils avaient cliqué. L’autorité précise qu’ il s’agit d’informations très sensibles, en raison de la nature spécifique des produits de droguerie: il peut en effet s’agir de tests de grossesse, de contraceptifs ou de médicaments pour toutes sortes d’affections. La société a en conséquence été condamnée à payer une amende de 600 000 euros.

Aleid Wolfsen, président de l’AP estime que  « les cookies de suivi ou les logiciels de suivi permettent aux organisations de surveiller votre comportement sur Internet. Cela n’est pas permis sans autorisation et sans que vos clients en soient informés. En effet, ce que vous faites sur l’internet est très personnel. Une organisation n’est autorisée à le suivre que si vous y consentez explicitement. Et vous devez être en mesure de refuser ce logiciel de suivi, sans que cela ne vous porte préjudice. »

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

CNIL

Les actions de la CNIL en Europe et dans le monde

La CNIL participe aux travaux du Comité européen de la protection des données, elle est aussi membre de plusieurs instances européennes et internationales. Elle apporte également sa contribution à de nombreux travaux et conférences sur le thème de la protection des données personnelles dans le monde.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

La CNIL se mobilise pour la semaine de la parentalité numérique à Paris

Du 23 au 30 mars 2024, la Ville de Paris et l’association WeTechCare organisent, en partenariat avec la CAF de Paris, une semaine sur la parentalité numérique. La CNIL participera à la journée de lancement et interviendra auprès de parents et dans des établissements scolaires.

Disponible sur: CNIL.fr

CNIL

Revoir le webinaire : Évolution des règles applicables en matière de cookies et autres traceurs : bilan et perspectives

La CNIL vous propose de décrypter un sujet ou une actualité en lien avec la protection des données à travers une série de webinaires. Retrouvez l’épisode consacré à l’évolution des règles applicables en matière de cookies et autres traceurs : bilan et perspectives.

Disponible sur: CNIL.fr

Retour en haut