Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

CNIL

Protection des consommateurs et des données personnelles : la CNIL et la DGCCRF renforcent leur coopération

Dans l’économie numérique, les services fournis aux consommateurs s’accompagnent le plus souvent de l’exploitation commerciale de leurs données personnelles. La progression constante de cette dimension numérique dans les échanges économiques fait de la protection des consommateurs et de la protection des données des enjeux liés et complémentaires, nécessitant une coopération étroite entre les autorités concernées. C’est pourquoi la Commission nationale de l’informatique et libertés (CNIL), autorité chargée de veiller à la protection des données, et la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), autorité chargée de la protection des consommateurs, ont signé un premier protocole de coopération en 2011, dans l’objectif d’une meilleure protection des consommateurs dans l’espace numérique.

Pour promouvoir cette coopération et l’adapter aux évolutions du cadre légal et de l’économie numérique, le protocole a été revu une première fois en 2019. Depuis, les deux autorités ont échangé plusieurs dizaines de signalements, luttant ainsi contre les pratiques commerciales abusives et non conformes à la protection des données, sur des sujets tels que la prospection liée à la rénovation ou la gestion des programmes de fidélité. Dans le but de renforcer davantage cette coopération entre les deux autorités, Marie-Laure Denis, présidente de la CNIL, et Sarah Lacoche, directrice générale de la DGCCRF, signent aujourd’hui un nouveau protocole, dont les objectifs sont détaillés ci-dessous.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 14 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 14 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret du 11 février 2021 relatif aux modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et des droits indirects de traitements informatisés et automatisés permettant la collecte et l’exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ;
* Présentation d’une synthèse des conclusions des États généraux de l’information ;
* Présentation d’un observatoire des parcours d’exercice des droits RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant agrément d’APAVE CERTIFICATION pour la certification des compétences du délégué à la protection des données ;
* Examen d’un projet de délibération portant avis sur un projet de décret en Conseil d’État relatif au recrutement des agents recenseurs mentionnés à l’article 156 de la loi n°2002-276 du 27 février 2002 relative à la démocratie de proximité;
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes « responsable de traitement » du groupe COFACE.

Disponible sur: CNIL.fr

DPA (autorité grecque)

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Silver économie (économie des seniors) : le plan d’action de la CNIL

Le développement de la silver économie répond à la transition démographique vécue par de nombreux pays occidentaux. La nature des données traitées et le ciblage en fonction de l’âge soulève d’importants enjeux en matière de protection des données. La CNIL publie son plan d’action pour accompagner l’ensemble des acteurs de la filière.

La filière de la silver économie (économie des seniors) englobe l’ensemble des activités qui bénéficient aux seniors (60 ans et plus). Il s’agit d’une économie transversale présente dans une multitude de secteurs et qui, le plus souvent, consiste en des offres de services et de biens visant à améliorer la qualité de vie des seniors, à préserver leur autonomie, et à apporter des solutions aux personnes fragiles ou en dépendance.

Cette filière recouvre de nombreux champs d’actions, tels que :
* la santé et la nutrition ;
* la sécurité et l’autonomie ;
* l’habitat ;
* les services ;
* les loisirs et activités adaptées ;
* la communication ;
* les transports et la mobilité.

Les seniors représenteront environ 24 millions de personnes en France d’ici 2060. Le vieillissement de la population entraîne l’émergence de plus en plus de produits et de services à destination des personnes âgées. La filière de la silver économie soulevant des problématiques importantes tant d’ordre juridique qu’éthique, la CNIL a décidé d’engager des travaux destinés à ces acteurs.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 7 novembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 7 novembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Présentation de la revue de la littérature scientifique concernant les enjeux de prise de décision automatisée ;
* Point sur le statut des modèles d’IA.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif au système d’information du compte personnel de formation, au traitement de données à caractère personnel dénommé « Mon Activité de Formation » et à l’accès de la Caisse des dépôts et consignations à diverses données ;
* Examen de quatre projets de délibérations portant sur les traitements NAVPRO, OEDIPP, PUMA et SIMBA :
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant modification de l’arrêté du 26 novembre 2015 portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires professionnels dénommé « NAVPRO » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté portant création d’un traitement de données à caractère personnel relatif à l’organisation des épreuves et la délivrance informatisée des permis de conduire les bateaux de plaisance à moteur dénommé « OEDIPP » ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté relatif à l’arrêté portant création d’un traitement de données à caractère personnel relatif à la constitution d’un référentiel des navires de plaisance dénommé « PUMA » et au traitement automatisé permettant la gestion du droit annuel de francisation et de navigation ;
– Examen d’un projet de délibération portant avis sur un projet d’arrêté modifiant l’arrêté du 29 novembre 2011 portant création d’un traitement automatisé d’informations relatif à l’enregistrement des bateaux de plaisance naviguant ou stationnant dans les eaux intérieures nationales dénommé « SIMBA ».

Disponible sur: CNIL.fr

CNIL

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie.

Ce fichier est notamment utilisé dans le cadre d’enquêtes judiciaires pour la recherche des auteurs d’infractions, mais également dans le cadre d’enquêtes administratives, en vue de l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles, ou encore pour l’examen de demandes d’obtention de la nationalité française. À l’issue d’une procédure de contrôle auprès des représentants des deux ministères et de plusieurs parquets de tribunaux judiciaires et de cours d’appel, la CNIL a relevé l’existence de plusieurs manquements en lien avec les conditions dans lesquelles sont traitées les données personnelles figurant dans le TAJ (données inexactes, absence d’information des personnes et refus d’exercice des droits, …).

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice. En complément de ces sanctions qu’elle a souhaité rendre publiques, la formation restreinte a également enjoint aux ministères de se mettre en conformité avec la loi Informatique et Libertés.

Disponible sur: CNIL.fr

Retour en haut