Dernières actualités : données personnelles

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

IMY (autorité suédoise)

La banque Avanza condamnée à 1,3 millions d’amende pour le transfert de données personnelles à Meta via leur « pixel »

Dans un communiqué de presse en date du 25 juin 2024, l’autorité suédoise pour la protection de la vie privée (IMY) a décidé d’une amende de 15 millions de couronnes suédoises (un peu plus de 1,3 million d’euros) à l’encontre d’Avanza Bank AB pour avoir, en raison d’un défaut de paramétrage, utilisé un pixel dit Meta sur son site web et son application mobile – la banque n’ayant ainsi pas assuré la confidentialité et la sécurité des données concernées.

Cette affaire commence par une notification de violation de données de la part d’Avanza, selon laquelle des données à caractère personnel ont été transférées à Meta sur une longue période en raison de paramètres incorrects : une fonctionnalité avait été activée par inadvertance. Néanmoins, cette violation n’est pas anodine puisqu’elle concerne :
* des informations telles que des données sur les titres détenus et leur valeur, les montants des prêts, les numéros de compte et les numéros de sécurité sociale   :
* un million de personnes au maximum
* une période de violation prolongée, entre le 15 novembre 2019 au 2 juin 2021 inclus.  Avanza a ensuite pris connaissance de l’incident et a désactivé le pixel. La banque a également indiqué que Meta a confirmé que les données personnelles collectées par le biais du pixel ont été supprimées chez Meta.

Une enquête est ouverte par l’IMY, probablement au regard de l’importance de la violation et du risque généré pour les personnes concernées. Celle-ci confirme qu’Avanza a utilisé l’outil d’analyse de Meta, le pixel Facebook (désormais pixel Meta), à la fois sur son site web et dans son application afin d’optimiser le marketing de la banque sur Facebook, et que le transfert erroné de données à caractère personnel a été causé par l’activation par inadvertance par la banque d’une nouvelle fonctionnalité de Meta-Pixel nommée « correspondance automatique avancée » (AAM en anglais), celle-ci permettant à Meta de détecter automatiquement les informations à faire remonter pour optimiser les résultats liés au marketing.
« La banque a violé le règlement général sur la protection des données (RGPD) en n’ayant pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat des données personnelles des visiteurs du site web et des utilisateurs de l’application », déclare Catharina Fernquist, chef d’unité chez IMY.  En conséquence de cette violation des principes de confidentialité et de sécurité, l’IMY a infligé une amende administrative de 15 millions de couronnes suédoises à Avanza Bank AB.

A la fin de son communiqué, l’IMY a annoncé avoir plusieurs autres enquêtes en cours basées sur des violations de données personnelles signalées où des données personnelles ont été transférées à Meta sur une longue période. L’autorité enquête sur ce qui s’est passé et sur les procédures mises en place par les entreprises pour contrôler les données personnelles des utilisateurs.

Disponible (en suédois) sur: imy.se. La décision complète est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Italie : Plus de 6 millions d’euros d’amendes à payer par le fournisseur d’énergie Eni Plenitude pour des pratiques de prospection non conformes

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction du fournisseur d’énergie Eni Plenitude, qui a été condamné à une amende de près de 6,5 millions d’euros le 6 juin 2024.  Selon elle, cette mesure fait suite à 108 signalements et 7 plaintes contre la société, de personnes qui se plaignaient de recevoir des appels téléphoniques non désirés. Au cours de l’enquête ouverte en réponse à ces signalements et plaintes, l’autorité indique avoir demandé à Eni Plenitude les données relatives aux propositions d’achat faites par le réseau de vente et conclues avec l’activation de services énergétiques, concernant une « semaine échantillon ». Résultat: sur 747 contrats conclus dans la période identifiée, 657 provenaient d’un contact illégitime. Des chiffres qui, s’ils étaient hypothétiquement projetés sur une année, conduiraient à 32 850 fournitures activées de manière illicite. Ces chiffres expliquet aisément pourquoi ces pratiques continuent quand bien même elles sont constamment dénoncées et régulièrement sanctionnées.

Toujours selon l’autorité, les lacunes concernant le contrôle et la surveillance des agences et sous-agences et le mélange des bases de données sont particulièrement graves. Selon la Garante, pour se conformer à la règle, il ne suffit pas de supprimer l’agent individuel ou d’effectuer des audits en cas d’anomalies, mais des mesures sont nécessaires pour empêcher que des contrats conclus sur la base de contacts téléphoniques illicites ou pour tirer un avantage économique d’un comportement illicite ne pénètrent dans les systèmes de l’entreprise.

Outre le paiement de la sanction, fait suffisamment rare pour le mettre en valeur, la Garante a imposé à Eni Plenitude l’interdiction de tout traitement ultérieur des données des plaignants et des dénonciateurs. L’entreprise devra également informer les 657 personnes contactées illégalement de l’issue de la procédure sur la base d’un texte à convenir avec l’Autorité, mettre en place des contrôles pour s’assurer que les contrats générés par les contacts illégaux n’entrent pas dans les actifs de l’entreprise, et garantir le respect des principes du traitement des données, avec une référence particulière aux obligations de mise à jour, d’effacement et de rectification des données personnelles relatives aux clients.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

Retour en haut