Dernières actualités : données personnelles

ICO (autorité anglaise)

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

  • La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
  • Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Mesures prises à l’encontre du parti travailliste qui n’a pas répondu dans les délais aux demandes d’informations personnelles

L’ICO a annoncé avoir adressé un blâme au parti travailliste pour avoir omis à plusieurs reprises de répondre à des personnes qui demandaient quelles informations personnelles le parti détenait sur elles – ce que l’on appelle une demande d’accès à l’information (DAS).

En novembre 2022, le parti travailliste avait reçu 352 demandes d’accès à l’information qui nécessitaient une réponse. Sur ce nombre, 78 % n’avaient pas reçu de réponse dans le délai maximum obligatoire de trois mois, et plus de la moitié (56 %) avaient un retard significatif de plus d’un an. L’arriéré de SAR s’est développé à la suite d’une cyber-attaque contre le Parti travailliste en octobre 2021, qui a entraîné une augmentation des demandes de la part du public. L’enquête a fait suite à plus de 150 plaintes concernant le traitement des demandes de renseignements par le parti travailliste au cours de la période allant de novembre 2021 à novembre 2022.

En vertu de la loi sur la protection des données, les personnes ont le droit de demander à une organisation si elle utilise ou stocke leurs informations personnelles et de recevoir une copie de toutes les informations personnelles détenues. Ils ont également le droit de demander à une organisation de s’assurer que leurs informations personnelles sont à jour et exactes ou, dans certains cas, de les supprimer. Au cours de l’enquête, l’ICO a constaté l’existence d’une « boîte de réception privée » qui n’avait pas été contrôlée par le parti travailliste depuis novembre 2021. Cette boîte de réception contenait environ 646 SAR supplémentaires et environ 597 demandes de suppression d’informations personnelles. Bien que certaines de ces demandes aient pu être des doublons, le parti travailliste n’a répondu à aucune d’entre elles.

Depuis le début de l’engagement avec l’ICO, le Parti travailliste a continué à prendre des mesures pour résorber son retard, notamment en affectant trois membres temporaires du personnel à la seule gestion des demandes en suspens, en allouant des fonds supplémentaires et en mettant en œuvre un plan d’action.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Selon l’autorité italienne, le RGPD s’applique également à Wikipédia

Dans sa newsletter du 06 juin, à la suite d’une plainte déposée par un intéressé qui n’avait pas vu satisfaite sa demande de suppression d’un article biographique, relatif à une affaire judiciaire,  l’autorité rappelle que le traitement des données à caractère personnel effectué par Wikipédia relève du RGPD ainsi que des règles relatives au journalisme et à l’expression de la pensée s’appliquent au contenu publié. Pour réaliser cette conclusion alors même que la société éditrice de l’encyclopédie n’a pas d’établissement au sein de l’Union, l’autorité italienne a estimé que « Wikipédia n’offre pas seulement un service d’information sur une grande variété de sujets, mais s’adresse également au marché européen, comme le démontrent le pilotage et la vérification constants par la Fondation des standards de qualité des contenus adressés à la communauté et la création de versions du site dédiées aux utilisateurs d’un ou de plusieurs États membres. » De cette manière, explique la Garante, “l‘exigence d’intentionnalité dans la prestation de services qui permet d’appliquer le RGPD à un responsable de traitement établi dans un pays tiers sans établissement dans l’UE est remplie”.

Malgré cela, l’autorité a rejeté la demande d’annulation de la personne concernée au motif que le traitement de données à caractère personnel à des fins journalistiques, même sans consentement, qui est licite s’il respecte les droits et la dignité des personnes et le principe du caractère essentiel de l’information. De même, elle estime licite le fait que que l’article reste dans les archives des encyclopédies en ligne : les archives des sites web et des journaux, y compris ceux qui sont imprimés, jouent un rôle important dans la reconstitution historique des événements. Toutefois, la Garante a ordonné la désindexation de l’article. La présence en ligne de la page annulerait en effet le bénéfice « reconnu par la loi visant à limiter la connaissance de la condamnation de moins de deux ans subie par une personne donnée, serait en effet réduit à néant si le responsable du traitement était autorisé à poursuivre le traitement des données du plaignant en les mettant à disposition sur le web, portant ainsi atteinte à la sphère de confidentialité de la personne concernée ». Par ailleurs, l’autorité note « qu’il ne semble pas y avoir, à l’heure actuelle, de raisons spécifiques d’intérêt public justifiant le maintien de l’article en question en dehors des archives du site ; »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

DPC (autorité irlandaise)

Le 31 janvier 2024, à la suite d’une enquête concernant une plainte reçue contre Airbnb Ireland UC (Airbnb), la Commission de la protection des données irlandaise (la CPD ou DPC en anglais) a adopté une décision qu’elle vient de publier sur son site.

La DPC avait ouvert cette enquête le 8 décembre 2022, à la suite d’une plainte selon laquelle Airbnb avait illégalement demandé une copie de la pièce d’identité du plaignant afin de vérifier son identité et d’effectuer une demande d’effacement lorsqu’il avait décidé de mettre fin à la procédure de création de compte. A la suite de cette enquête, qui a notamment pris du temps au regard du caractère transfrontalier du traitement (ce qui entraine l’activation de mécanismes de coopération entre autorités), la DPC a estimé qu’Airbnb n’avait pas valablement fondé le traitement des données d’identification du plaignant. En outre, la DPC a estimé que dans la situation particulière qui s’est présentée dans le cas de ce plaignant, l’exigence d’Airbnb que le plaignant vérifie son identité en soumettant une copie de sa pièce d’identité afin de faire une demande d’effacement constituait une violation du principe de minimisation des données, conformément à l’article 5, paragraphe 1, point c), du GDPR.

[Ajout contextuel Portail RGPD: La DPC a, dans cette affaire, été clémente, puisqu’Airbnb n’a écopé que d’une simple réprimande, justifiée par le fait qu’il a rapidement été mis fin à cette pratique. Il est notable qu’il s’agit de la 7è décision en la matière à l’encontre d’Airbnb publiée sur le site de la DPC, montrant que cette pratique a été mise en œuvre (au moins) entre Mars 2021 et Décembre 2022, dates entre lesquelles les plaintes ont été transmises à la DPC – alors mêmes que la  V1 des lignes directrices sur le droit d’accès du CEPD écartaient la pratique dès janvier 2022 dans une version certes non définitive ouverte à consultation publique, notamment en ce qu’elle ne permettait pas un niveau d’authentification satisfaisant dans un contexte numérique (cf. points 73 et suivants).]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut