Dernières actualités : données personnelles

IMY (autorité suédoise)

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

La banque Avanza condamnée à 1,3 millions d’amende pour le transfert de données personnelles à Meta via leur « pixel »

Dans un communiqué de presse en date du 25 juin 2024, l’autorité suédoise pour la protection de la vie privée (IMY) a décidé d’une amende de 15 millions de couronnes suédoises (un peu plus de 1,3 million d’euros) à l’encontre d’Avanza Bank AB pour avoir, en raison d’un défaut de paramétrage, utilisé un pixel dit Meta sur son site web et son application mobile – la banque n’ayant ainsi pas assuré la confidentialité et la sécurité des données concernées.

Cette affaire commence par une notification de violation de données de la part d’Avanza, selon laquelle des données à caractère personnel ont été transférées à Meta sur une longue période en raison de paramètres incorrects : une fonctionnalité avait été activée par inadvertance. Néanmoins, cette violation n’est pas anodine puisqu’elle concerne :
* des informations telles que des données sur les titres détenus et leur valeur, les montants des prêts, les numéros de compte et les numéros de sécurité sociale   :
* un million de personnes au maximum
* une période de violation prolongée, entre le 15 novembre 2019 au 2 juin 2021 inclus.  Avanza a ensuite pris connaissance de l’incident et a désactivé le pixel. La banque a également indiqué que Meta a confirmé que les données personnelles collectées par le biais du pixel ont été supprimées chez Meta.

Une enquête est ouverte par l’IMY, probablement au regard de l’importance de la violation et du risque généré pour les personnes concernées. Celle-ci confirme qu’Avanza a utilisé l’outil d’analyse de Meta, le pixel Facebook (désormais pixel Meta), à la fois sur son site web et dans son application afin d’optimiser le marketing de la banque sur Facebook, et que le transfert erroné de données à caractère personnel a été causé par l’activation par inadvertance par la banque d’une nouvelle fonctionnalité de Meta-Pixel nommée « correspondance automatique avancée » (AAM en anglais), celle-ci permettant à Meta de détecter automatiquement les informations à faire remonter pour optimiser les résultats liés au marketing.
« La banque a violé le règlement général sur la protection des données (RGPD) en n’ayant pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat des données personnelles des visiteurs du site web et des utilisateurs de l’application », déclare Catharina Fernquist, chef d’unité chez IMY.  En conséquence de cette violation des principes de confidentialité et de sécurité, l’IMY a infligé une amende administrative de 15 millions de couronnes suédoises à Avanza Bank AB.

A la fin de son communiqué, l’IMY a annoncé avoir plusieurs autres enquêtes en cours basées sur des violations de données personnelles signalées où des données personnelles ont été transférées à Meta sur une longue période. L’autorité enquête sur ce qui s’est passé et sur les procédures mises en place par les entreprises pour contrôler les données personnelles des utilisateurs.

Disponible (en suédois) sur: imy.se. La décision complète est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Retour en haut