Dernières actualités : données personnelles

ICO (autorité anglaise)

Un vendeur de voitures condamné à une amende pour avoir conservé et vendu des données à des concurrents

Quelques mois après la publication d’une sanction envers un stagiaire de Rent-A-Car pour avoir traité des données illégalement, c’est cette fois au tour d’un vendeur de « Laeseline Vehicle Management Ltd » d’être condamné pour avoir vendu des données à des concurrents.

Peu avant de démissionner de son poste de conseiller commercial chez Leaseline Vehicle Management Ltd, Alexander D., 44 ans, a vendu plus de 3 600 informations personnelles qu’il avait extraites de la base de données interne des clients de l’entreprise. Il a contacté plusieurs entreprises concurrentes avec ces informations, tout en prétendant que les données lui appartenaient. La violation a été découverte en novembre 2022 et a fait l’objet d’une enquête de l’ICO. L’homme a plaidé coupable d’avoir obtenu et vendu illégalement des données, en violation de l’article 170 de la loi sur la protection des données de 2018. Il a comparu devant la St Albans Crown Court le mardi 17 septembre, où il a été condamné à payer une amende de 1 200 livres sterling et 300 livres sterling de frais.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Mesures prises à l’encontre de Sky Betting and Gaming pour utilisation de cookies sans consentement

Dans un communiqué publié ce jour, l’ICO annonce avoir adressé un blâme à Bonne Terre Limited, opérant sous le nom de Sky Betting and Gaming, pour avoir traité illégalement les données des personnes par le biais de cookies publicitaires sans leur consentement.

À la suite d’une plainte déposée par l’association militante Clean Up Gambling, l’autorité a cherché à savoir si Sky Betting and Gaming abusait délibérément des informations personnelles des joueurs pour cibler les joueurs vulnérables. Bien qu’aucune preuve d’abus délibéré n’ait été trouvée, l’ICO a conclu que Sky Betting and Gaming traitait des données personnelles par le biais de certains cookies d’une manière qui n’était pas légale, transparente ou équitable. L’enquête a en effet relevé que du 10 janvier au 3 mars 2023, Sky Betting and Gaming a traité les informations personnelles des personnes et les a partagées avec des sociétés de technologie publicitaire dès qu’elles accédaient au site Web de SkyBet – avant qu’elles aient la possibilité d’accepter ou de refuser les cookies publicitaires. Cela signifie que leurs informations personnelles pouvaient être utilisées pour les cibler avec des publicités personnalisées sans leur consentement préalable ou sans qu’ils le sachent.

Sky Betting and Gaming a apporté des modifications en mars 2023 pour s’assurer que les internautes puissent rejeter les cookies publicitaires avant que leurs données personnelles ne soient partagées à ces fins. Cette mesure d’application de la loi intervient alors que nous nous efforçons de sévir contre les sites web qui n’offrent pas aux internautes un choix équitable et éclairé quant à l’utilisation de leurs données personnelles à des fins de publicité ciblée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

ICO (autorité anglaise)

Un homme de Porthcawl condamné après une escroquerie « effrontée » à la voiture d’une valeur de plusieurs centaines de milliers de livres sterling

Un homme qui avait accédé illégalement à des données personnelles a été condamné à la suite de notre enquête.

Jonathan Riches, 46 ans, a plaidé coupable d’une infraction à l’article 55 de la loi de 1998 sur la protection des données (Data Protection Act 1998) devant la Cardiff Crown Court. Le tribunal a appris que Riches avait accédé illégalement aux données d’automobilistes d’Enterprise Rent-A-Car et qu’il avait poursuivi des réclamations pour dommages corporels à des fins lucratives. Les infractions ont été commises entre 2009 et 2011. M. Riches était auparavant un employé d’Enterprise Rent-A-Car, qu’il a quitté en 2009 pour créer son propre cabinet de réparation de dommages corporels. Il était toujours en contact avec d’anciens collègues, ce qui lui permettait d’obtenir illégalement les coordonnées de personnes impliquées dans des accidents de la route et de les contacter pour leur proposer des services juridiques. À un moment donné, M. Riches, par l’intermédiaire de ses complices, a eu accès à la base de données interne d’Enterprise, ce qui lui a permis d’accéder aux données personnelles des clients.

Le juge Francis a condamné M. Riches à une amende de 10 000 livres sterling et à des frais de 1 700 livres sterling.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Google de ne plus bloquer les cookies tiers dans Chrome

Ce jour, Stephen Bonner, commissaire adjoint à l’ICO, a déclaré :
« Nous sommes déçus que Google ait changé ses plans et n’ait plus l’intention de déprécier les cookies tiers du navigateur Chrome. Depuis le début du projet Sandbox de Google en 2019, nous sommes d’avis que le blocage des cookies tiers serait une mesure positive pour les consommateurs.
Le nouveau plan présenté par Google constitue un changement significatif et nous réfléchirons à cette nouvelle ligne de conduite lorsque davantage de détails seront disponibles. Notre ambition de soutenir la création d’un internet plus respectueux de la vie privée se poursuit. Malgré la décision de Google, nous continuons à encourager le secteur de la publicité numérique à opter pour des solutions plus privées que les cookies de tiers – et à ne pas recourir à des formes de suivi plus opaques. Nous surveillerons la réaction du secteur et envisagerons des mesures réglementaires en cas de non-conformité systémique de toutes les entreprises, y compris Google. »

En effet, la veille, Google a annoncé (dans le plan disponible ci-dessus) que  » les premiers tests effectués par des entreprises de technologie publicitaire, dont Google, ont montré que les API de l’écrin de verdure pouvaient permettre d’atteindre ces résultats. Nous nous attendons à ce que les performances globales de l’utilisation des API Privacy Sandbox s’améliorent au fil du temps, à mesure que l’adoption par le secteur augmentera. Dans le même temps, nous reconnaissons que cette transition nécessite un travail important de la part de nombreux participants et qu’elle aura un impact sur les éditeurs, les annonceurs et toutes les personnes impliquées dans la publicité en ligne.

C’est pourquoi nous proposons une approche actualisée qui renforce le choix de l’utilisateur. Au lieu de supprimer les cookies tiers, nous introduirions une nouvelle expérience dans Chrome qui permettrait aux utilisateurs de faire un choix éclairé qui s’appliquerait à l’ensemble de leur navigation sur le web, et ils seraient en mesure d’ajuster ce choix à tout moment. Nous discutons de cette nouvelle voie avec les régulateurs et nous nous engagerons avec l’industrie au fur et à mesure que nous la mettrons en place. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Publicité en ligne : la CNIL se prépare aux évolutions des modèles d’affaires

La publicité numérique sera demain, plus encore qu’aujourd’hui, au cœur du financement des médias français : selon une récente étude commandée par l’Arcom, la publicité numérique représentera ainsi 65 % du marché publicitaire à l’horizon 2030. Dans le même temps, ce marché est affecté par d’importants bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay), etc.

Dans ce contexte, quels seront les modèles d’affaires publicitaires de demain ? Quel rôle joueront les modèles alternatifs aux solutions dominantes ? Plus généralement, quels sont les risques que comportent ces évolutions pour la protection des données ? Pour répondre à ces questions et tenter d’anticiper les évolutions, la CNIL a demandé à deux chercheurs de Télécom Paris, Christelle Aubert-Hassouni et Patrick Waelbroeck, une étude économique et concurrentielle sur les modèles publicitaires numériques alternatifs aux solutions dominantes.

Disponible sur: CNIL.fr

Conseil d’Etat

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

Retour en haut