Dernières actualités : données personnelles

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des amendes d’un montant de plus de 140 000 euros infligées à deux entreprises pour des campagnes de marketing prédateur

L’ICO a annoncé ce jour avoir infligé des amendes à deux entreprises pour avoir effectué des appels commerciaux illégaux à des personnes enregistrées auprès du Telephone Preference Service (TPS). Ces appels ont ainsi été adressés à des personnes qui avaient explicitement refusé de recevoir des communications commerciales, violant ainsi leur vie privée et causant, dans certains cas, une grande détresse. Il est clairement établi que, dans les deux cas, les personnes âgées et les personnes atteintes de maladies telles que la démence ont été ciblées. Certaines personnes ont fait l’objet d’appels téléphoniques répétés, tentant de les pousser à acheter des garanties pour des produits blancs, tels que des réfrigérateurs et des machines à laver, dont elles n’avaient pas besoin.

En conséquence :

  • WerepairUK Ltd, basée à Tonbridge, a été condamnée à une amende de 80 000 £ (environ 95 000 euros) pour avoir effectué 42 688 appels non sollicités. L’entreprise a fait appel de la décision.
  • Service Box Group Limited, basé à Hove, East Sussex, a été condamné à une amende de 40 000 £ (environ 48 000 euros) pour 5 361 appels.

Andy Curry, responsable des enquêtes à l’Information Commissioner’s Office, a déclaré :  « Nous avons pris des mesures décisives à l’encontre de WerepairUK Ltd et de Service Box Group Limited, deux sociétés qui ont causé une détresse considérable en ciblant des personnes qui courent un risque accru de subir des préjudices. Ces pratiques commerciales prédatrices sont illégales et relèvent d’une profonde exploitation. Nous restons déterminés à protéger le public, en particulier les personnes qui ne sont pas en mesure de se défendre contre de telles tactiques. Ces amendes portent à 1,57 million de livres sterling le montant total des sanctions infligées dans le cadre de cette dernière vague d’action contre le marketing prédateur. Cela reflète notre détermination à faire en sorte que les responsables de ces actions préjudiciables soient tenus pour responsables.

Outre les mesures que nous avons prises, il existe des mesures simples que nous pouvons tous prendre pour nous protéger, ainsi que notre famille et nos amis, contre les pratiques commerciales illégales. L’inscription au TPS est gratuite, rapide et facile ; et si vous êtes inscrit au TPS et que vous recevez encore des appels, veuillez nous en informer via notre outil de signalement en ligne. Nous pourrons alors prendre des mesures pour y mettre fin ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Google de ne plus bloquer les cookies tiers dans Chrome

Ce jour, Stephen Bonner, commissaire adjoint à l’ICO, a déclaré :
« Nous sommes déçus que Google ait changé ses plans et n’ait plus l’intention de déprécier les cookies tiers du navigateur Chrome. Depuis le début du projet Sandbox de Google en 2019, nous sommes d’avis que le blocage des cookies tiers serait une mesure positive pour les consommateurs.
Le nouveau plan présenté par Google constitue un changement significatif et nous réfléchirons à cette nouvelle ligne de conduite lorsque davantage de détails seront disponibles. Notre ambition de soutenir la création d’un internet plus respectueux de la vie privée se poursuit. Malgré la décision de Google, nous continuons à encourager le secteur de la publicité numérique à opter pour des solutions plus privées que les cookies de tiers – et à ne pas recourir à des formes de suivi plus opaques. Nous surveillerons la réaction du secteur et envisagerons des mesures réglementaires en cas de non-conformité systémique de toutes les entreprises, y compris Google. »

En effet, la veille, Google a annoncé (dans le plan disponible ci-dessus) que  » les premiers tests effectués par des entreprises de technologie publicitaire, dont Google, ont montré que les API de l’écrin de verdure pouvaient permettre d’atteindre ces résultats. Nous nous attendons à ce que les performances globales de l’utilisation des API Privacy Sandbox s’améliorent au fil du temps, à mesure que l’adoption par le secteur augmentera. Dans le même temps, nous reconnaissons que cette transition nécessite un travail important de la part de nombreux participants et qu’elle aura un impact sur les éditeurs, les annonceurs et toutes les personnes impliquées dans la publicité en ligne.

C’est pourquoi nous proposons une approche actualisée qui renforce le choix de l’utilisateur. Au lieu de supprimer les cookies tiers, nous introduirions une nouvelle expérience dans Chrome qui permettrait aux utilisateurs de faire un choix éclairé qui s’appliquerait à l’ensemble de leur navigation sur le web, et ils seraient en mesure d’ajuster ce choix à tout moment. Nous discutons de cette nouvelle voie avec les régulateurs et nous nous engagerons avec l’industrie au fur et à mesure que nous la mettrons en place. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Amende de 600 000 euros pour des cookies de suivi non conformes sur le site internet Kruidvat

L’Autorité des données personnelles (AP) a imposé une amende de 600 000 euros à la société derrière la droguerie Kruidvat pour avoir suivi les visiteurs de leur site internet avec des cookies de suivi à leur insu et sans leur consentement. La société à l’origine de Kruidvat, AS Watson (Health & Beauty Continental Europe), a en outre collecté ces données auprès des visiteurs du site web afin de créer des profils personnels de ces personnes.
Effectivement, outre les données de localisation des visiteurs (tracée via l’adresse IP du visiteur unique), ces données comprenaient les pages qu’ils avaient visitées, les produits qu’ils avaient ajoutés à leur panier et achetés, ainsi que les recommandations sur lesquelles ils avaient cliqué. L’autorité précise qu’ il s’agit d’informations très sensibles, en raison de la nature spécifique des produits de droguerie: il peut en effet s’agir de tests de grossesse, de contraceptifs ou de médicaments pour toutes sortes d’affections. La société a en conséquence été condamnée à payer une amende de 600 000 euros.

Aleid Wolfsen, président de l’AP estime que  « les cookies de suivi ou les logiciels de suivi permettent aux organisations de surveiller votre comportement sur Internet. Cela n’est pas permis sans autorisation et sans que vos clients en soient informés. En effet, ce que vous faites sur l’internet est très personnel. Une organisation n’est autorisée à le suivre que si vous y consentez explicitement. Et vous devez être en mesure de refuser ce logiciel de suivi, sans que cela ne vous porte préjudice. »

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

GPDP (autorité italienne)

 Italie : Plus de 6 millions d’euros d’amendes à payer par le fournisseur d’énergie Eni Plenitude pour des pratiques de prospection non conformes

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction du fournisseur d’énergie Eni Plenitude, qui a été condamné à une amende de près de 6,5 millions d’euros le 6 juin 2024.  Selon elle, cette mesure fait suite à 108 signalements et 7 plaintes contre la société, de personnes qui se plaignaient de recevoir des appels téléphoniques non désirés. Au cours de l’enquête ouverte en réponse à ces signalements et plaintes, l’autorité indique avoir demandé à Eni Plenitude les données relatives aux propositions d’achat faites par le réseau de vente et conclues avec l’activation de services énergétiques, concernant une « semaine échantillon ». Résultat: sur 747 contrats conclus dans la période identifiée, 657 provenaient d’un contact illégitime. Des chiffres qui, s’ils étaient hypothétiquement projetés sur une année, conduiraient à 32 850 fournitures activées de manière illicite. Ces chiffres expliquet aisément pourquoi ces pratiques continuent quand bien même elles sont constamment dénoncées et régulièrement sanctionnées.

Toujours selon l’autorité, les lacunes concernant le contrôle et la surveillance des agences et sous-agences et le mélange des bases de données sont particulièrement graves. Selon la Garante, pour se conformer à la règle, il ne suffit pas de supprimer l’agent individuel ou d’effectuer des audits en cas d’anomalies, mais des mesures sont nécessaires pour empêcher que des contrats conclus sur la base de contacts téléphoniques illicites ou pour tirer un avantage économique d’un comportement illicite ne pénètrent dans les systèmes de l’entreprise.

Outre le paiement de la sanction, fait suffisamment rare pour le mettre en valeur, la Garante a imposé à Eni Plenitude l’interdiction de tout traitement ultérieur des données des plaignants et des dénonciateurs. L’entreprise devra également informer les 657 personnes contactées illégalement de l’issue de la procédure sur la base d’un texte à convenir avec l’Autorité, mettre en place des contrôles pour s’assurer que les contrats générés par les contacts illégaux n’entrent pas dans les actifs de l’entreprise, et garantir le respect des principes du traitement des données, avec une référence particulière aux obligations de mise à jour, d’effacement et de rectification des données personnelles relatives aux clients.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Deux fournisseurs d’énergie individuellement condamnés à une amende 100 000 euros pour du « télémarketing sauvage »

Ce 11 avril 2024, l’autorité italienne a imposé une amende de 100 mille euros à un opérateur opérant dans le secteur des contrats de fourniture d’électricité et de gaz pour traitement illicite de données à caractère personnel.
Dans sa newsletter du 21 mai, la Garante explique avoir pris des mesures à la suite de 2 plaintes et de 56 rapports d’utilisateurs se plaignant de recevoir des appels téléphoniques non désirés et de l’activation de contrats d’énergie non sollicités. Les vérifications effectuées par l’Autorité ont révélé que les appels avaient été effectués sans le consentement des personnes concernées et qu’ils s’adressaient principalement à des utilisateurs inscrits au registre public d’opposition (Rpo). Les listes de contacts ont été acquises par le centre d’appel par l’intermédiaire de sociétés tierces et de son propre réseau d’agents ou de mandataires. En outre, à partir d’un contrôle par échantillonnage, l’Autorité a constaté qu’en l’espace d’une semaine, le centre d’appel avait contacté illégalement 106 utilisateurs qui avaient ensuite conclu un contrat de fourniture d’énergie.

Selon ses termes, « Compte tenu de la gravité des violations constatées », l’autorité a donc infligé au centre d’appel du fournisseur Facile.Energy une amende de 100 000 euros, en lui ordonnant de mettre en œuvre des mesures techniques, organisationnelles et de contrôle appropriées afin de garantir que le traitement des données personnelles des utilisateurs est effectué conformément aux règles de confidentialité tout au long de la chaîne.

L’autorité a rendu une seconde sanction de 100 000 euros, cette fois au gestionnaire d’énergie Olimpia, pour des faits similaires. L’enquête a fait suite à 2 plaintes et 18 rapports d’utilisateurs entre janvier 2022 et novembre 2022, concernant pour la plupart des questions de télémarketing. L’autorité a une fois de plus constaté que des appels téléphoniques avaient été effectués sans le consentement des personnes concernées et en utilisant les numéros des utilisateurs inscrits au registre public des oppositions et a en conséquence déclaré illégal le traitement de données à caractère personnel à des fins de télémarketing.

Disponible (en italien) sur: gpdp.it (Olimpia) et sur gpdp.it (Facile.Energy)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO inflige des amendes d’un montant total de 340 000 livres sterling à deux entreprises pour avoir effectué des appels commerciaux agressifs et non désirés

L’Information Commissioner’s Office (ICO) a condamné Outsource Strategies Ltd (OSL), basée à Cardiff, à une amende de 240 000 livres sterling et Dr Telemarketing Ltd (DRT), basée à Londres, à une amende de 100 000 livres sterling, après que les sociétés aient passé au total près de 1,43 million d’appels à des personnes inscrites sur le registre britannique des « personnes à ne pas appeler », le Telephone Preference Service (TPS). Les appels, tous effectués entre le 11 février 2021 et le 22 mars 2022, ont donné lieu à 76 plaintes auprès de l’ICO et du TPS. Les personnes qui se sont plaintes ont déclaré que les appelants étaient agressifs et utilisaient des tactiques de vente à haute pression pour les persuader de souscrire à des produits. L’enquête de l’ICO a également révélé que les deux sociétés ciblaient spécifiquement les personnes âgées et vulnérables.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut