Dernières actualités : données personnelles

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Pologne, le ministère public est sommé d’enquêter sur la fuite de données de Pandabuy[.]com

L’UODO a annoncé aujourd’hui que le tribunal de district de Varsovie-Śródmieście a décidé que le parquet de district de Varsovie-Śródmieście-Północ doit traiter le cas de la commission présumée d’un crime par les auteurs de la publication des données des clients polonais de la plateforme de vente pandabuy[.]com. Lorsque, à la fin du mois de mars 2024, les données des clients polonais (y compris les noms, prénoms et adresses de livraison) ayant fuité de la boutique Pandaby[.]com ont été publiées en ligne sur une carte interactive de la Pologne, le président de l’UODO en a informé le bureau du procureur du district de Śródmieście-Północ de Warszawa.

Dans l’avis de suspicion d’infraction par les créateurs des sites web : « lista-drillowcow[.]pl », “lista drillowcow[.]club” et “lista-drillowcow[.]xyz”, qui contenaient les données des clients du magasin, le président de l’UODO a souligné que la publication de ces données avait eu lieu sans base légale (ce qui, en Pologne, est susceptible d’une amende, d’une peine de restriction de liberté ou d’une peine d’emprisonnement pouvant aller jusqu’à deux ans). Toutefois, le ministère public a d’abord refusé d’ouvrir une enquête sur cette affaire. Le président de l’UODO a donc décidé de déposer une plainte contre cette décision auprès du tribunal, qui, le 15 octobre 2024, l’a prise en compte et a décidé annulé la décision du parquet.

De l’avis du tribunal de district de Varsovie-Śródmieście, les informations et les documents présentés par le président de l’Office pour la protection des données personnelles témoignent d’un soupçon raisonnable de commettre une infraction en vertu de l’article 107, paragraphe 1, de la loi sur la protection des données personnelles [concernant la nécessité d’une base légale pour traiter des données personnelles]. Le tribunal a également admis que les informations présentées par l’UODO ont été confirmées par la police, et par conséquent, le tribunal a estimé que le refus du procureur d’engager des poursuites n’était pas justifié.

Une affaire à suivre, donc !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.