Dernières actualités : données personnelles

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

« Ils ne l’ont pas vu venir ! » : sanctions de 250 000 et 150 000 euros à l’encontre des sociétés de voyance en ligne COSMOSPACE et TELEMAQUE

Le 26 septembre 2024, la CNIL a sanctionné les sociétés COSMOSPACE et TELEMAQUE (entreprises proposant des services de voyance à distance), notamment pour avoir conservé des données personnelles de manière excessive, collecté des données sensibles sans consentement valable, et pour avoir manqué aux règles encadrant les opérations de prospection commerciale.

Les contrôles réalisés par la CNIL en 2021 ont permis de révéler plusieurs manquements, concernant la collecte de données sensibles sans consentement préalable et explicite (données de santé et données relatives à l’orientation sexuelle notamment), la conservation des données pendant une durée excessive, l’envoi de messages de prospection à des personnes n’ayant pas manifesté leur consentement ainsi que, s’agissant de la société COSMOSPACE, l’enregistrement systématique des appels téléphoniques.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 250 000 euros à l’encontre de COSMOSPACE et de 150 000 euros à l’encontre de la société TELEMAQUE. Ces amendes ont été adoptées en coopération avec une quinzaine d’homologues européens de la CNIL dans les deux cas. Le montant de ces amendes a notamment été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées – la base de données commune aux deux sociétés contenant les données de plus d’1,5 million de personnes – ainsi que de la sensibilité des données traitées. La situation financière des sociétés, et leur structure, ont également été prises en compte, pour retenir des amendes dissuasives mais proportionnées.

Disponible sur: CNIL.fr

Retour en haut