Dernières actualités : données personnelles

DPC (autorité irlandaise)

La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Irlande

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ou chiffrement). la DPC a soumis un projet de décision aux autres autorités de contrôle concernées de l’UE/EEE en juin 2024, conformément à l’article 60 du GDPR. Aucune objection au projet de décision n’a été soulevée par les autres autorités.
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée au MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC fait état des violations suivantes du GDPR :

  • Article 33, paragraphe 1, du RGPD, car MPIL n’a pas notifié au CPD une violation de données à caractère personnel concernant le stockage de mots de passe d’utilisateurs en clair ;
  • Article 33, paragraphe 5, du RGPD, car la MPIL n’a pas documenté les violations de données à caractère personnel concernant le stockage de mots de passe d’utilisateur en clair ;
  • Article 5, paragraphe 1, point f), du RGPD, car la MPIL n’a pas pris les mesures techniques ou organisationnelles appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car la MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité permanente des mots de passe des utilisateurs.

Graham Doyle, commissaire adjoint à la DPC, a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
La DPC publiera la décision complète et d’autres informations connexes en temps voulu.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

Datatilsynet (autorité norvégienne)

Norvège : réprimande à l’encontre de partis après l’envoi de publicité politique 

En 2023, l’autorité norvégienne de protection des données a reçu des plaintes de plusieurs particuliers qui ont reçu des courriels contenant de la publicité politique des partis majoritaires à Stavanger (Ap, MDG, R, Sp, SV et FP). L’autorité a annoncé avoir pris la décision finale de réprimander le parti travailliste de Stavanger – au nom des partis majoritaires.

Le courriel en question a été envoyé le 20 août 2023 dans le cadre des élections municipales, et les destinataires seraient des parents d’enfants inscrits dans des jardins d’enfants et des écoles de la municipalité de Stavanger. Les coordonnées des parents auraient été divulguées par la municipalité de Stavanger en vertu de la loi sur la liberté d’information. Sur la base des plaintes reçues à propos de ces courriels, l’autorité norvégienne de protection des données a envoyé une demande d’explication au parti travailliste de Stavanger, au nom des partis majoritaires, et a notamment posé des questions sur l’objectif et la base juridique du traitement. Suite a son enquête, l’autorité norvégienne de protection des données a décidé de sanctionner (au moyen d’une réprimande) le parti travailliste de Stavanger, au nom des partis majoritaires, pour les raisons suivantes :

  • ne pas avoir procédé à des évaluations adéquates de la base juridique pertinente pour le traitement, et
  • ne pas avoir fourni d’informations sur le traitement aux personnes concernées.

Enfin, l’autorité norvégienne de protection des données annonce avoir classé l’affaire.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

Datatilsynet (autorité norvégienne)

Les autorités nordiques publient un guide commun sur la protection des enfants jouant à des jeux sur internet

Les 13 et 14 octobre 2022, une « réunion nordique sur la protection des données » s’est tenue à Helsinki pour discuter des questions d’actualité dans le domaine de la protection des données et pour partager des expériences. Les autorités nordiques de protection des données (DPA) ont adopté la « Déclaration d’Helsinki », dans laquelle il a été convenu que la protection des données des enfants était une priorité pour les autorités nordiques.

L’autorité danoise de protection des données a attiré l’attention sur les conclusions d’un rapport de groupe de réflexion rédigé par la Danish Society Engineers et DataEthics.eu sur les technologies du jeu, les données et les enfants, qui met en lumière la nécessité de mieux protéger les droits des enfants jouant à des jeux numériques. Compte tenu de l’essor de l’industrie des jeux numériques, y compris dans les pays nordiques, les autorités de protection des données des pays nordiques ont décidé de créer un groupe de travail informel sur les enfants et les jeux en ligne. Ce groupe devait tout d’abord envisager des activités communes de sensibilisation et d’orientation afin de promouvoir les droits des enfants en matière de protection des données.

Le groupe de travail s’est particulièrement concentré sur la nécessité de fournir des orientations de base aux responsables du traitement des données qui doivent veiller à ce que les enfants bénéficient de la protection à laquelle ils ont droit lorsqu’ils conçoivent et développent des jeux numériques. Ce document, qui est le résultat de la coopération nordique telle qu’elle a été décidée à Helsinki en octobre 2022, fournit des conseils de base pour le traitement conforme au RGPD dans le contexte des jeux en ligne utilisés par les enfants. Il explore quatre des principes de traitement des données énoncés dans le règlement – équité, transparence, minimisation des données et responsabilité – et présente un certain nombre de questions et de considérations importantes pour les responsables du traitement. Les autorités annonce que ce guide n’a pas l’intention d’être exhaustif ; non seulement il existe d’autres principes de traitement des données, mais les principes sont tous délibérément de nature générale et nécessiteront des mises en œuvre différentes dans des circonstances différentes. De même, si les quatre principes examinés ici sont importants, ils complètent, plutôt qu’ils ne remplacent, les autres dispositions du RGPD. Il appartient donc aux responsables du traitement d’examiner minutieusement leurs activités de traitement et de déterminer ce qu’ils doivent faire pour se conformer à la loi et aux droits de leurs joueurs.

Disponible (en anglais) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

Retour en haut