Dernières actualités : données personnelles

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

GPDP (autorité italienne)

L’autorité italienne publie son rapport annuel 2023

L’autorité pour la protection des données personnelles – composée de Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – présente aujourd’hui le rapport sur les activités menées au cours de la quatrième année de son mandat. Le rapport illustre les différents fronts sur lesquels l’Autorité s’est engagée au cours d’une année caractérisée par des interventions dans des domaines très innovants : numérisation, intelligence artificielle, PNRR, et par certaines constantes : la lutte contre le télémarketing agressif, l’attention particulière aux personnes vulnérables et la protection des données de santé. Des deux côtés, qui sont mutuellement liés, la Garante a toujours cherché le règlement difficile, parfois ardu, des intérêts et des droits en jeu, poursuivant sa tâche de protection des droits qui sont vraiment fondamentaux pour la liberté personnelle et sociale.

Après être revenue sur les interventions qu’elle estime être les plus pertinentes (notamment dans des dossiers à enjeux tels que des dossiers IA), l’autorité nous donne ses chiffres pour 2023:
* 9281 plaintes et signalements concernant notamment le marketing et les réseaux télématiques ; les données en ligne des administrations publiques ; la santé ; la justice ; le cyberharcèlement et le revenge porn ; la sécurité informatique ; la banque et la finance ; le travail ;
* 144 contrôles, ainsi que 394 mesures correctives et sanctions pour un montant total de 8 millions d’euros (perçus) ;
* 2037 notifications de violation de données ;
* 59 avis sur des actes réglementaires et administratifs ;
* 19 200 questions traitées ;

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Selon l’autorité italienne, le RGPD s’applique également à Wikipédia

Dans sa newsletter du 06 juin, à la suite d’une plainte déposée par un intéressé qui n’avait pas vu satisfaite sa demande de suppression d’un article biographique, relatif à une affaire judiciaire,  l’autorité rappelle que le traitement des données à caractère personnel effectué par Wikipédia relève du RGPD ainsi que des règles relatives au journalisme et à l’expression de la pensée s’appliquent au contenu publié. Pour réaliser cette conclusion alors même que la société éditrice de l’encyclopédie n’a pas d’établissement au sein de l’Union, l’autorité italienne a estimé que « Wikipédia n’offre pas seulement un service d’information sur une grande variété de sujets, mais s’adresse également au marché européen, comme le démontrent le pilotage et la vérification constants par la Fondation des standards de qualité des contenus adressés à la communauté et la création de versions du site dédiées aux utilisateurs d’un ou de plusieurs États membres. » De cette manière, explique la Garante, “l‘exigence d’intentionnalité dans la prestation de services qui permet d’appliquer le RGPD à un responsable de traitement établi dans un pays tiers sans établissement dans l’UE est remplie”.

Malgré cela, l’autorité a rejeté la demande d’annulation de la personne concernée au motif que le traitement de données à caractère personnel à des fins journalistiques, même sans consentement, qui est licite s’il respecte les droits et la dignité des personnes et le principe du caractère essentiel de l’information. De même, elle estime licite le fait que que l’article reste dans les archives des encyclopédies en ligne : les archives des sites web et des journaux, y compris ceux qui sont imprimés, jouent un rôle important dans la reconstitution historique des événements. Toutefois, la Garante a ordonné la désindexation de l’article. La présence en ligne de la page annulerait en effet le bénéfice « reconnu par la loi visant à limiter la connaissance de la condamnation de moins de deux ans subie par une personne donnée, serait en effet réduit à néant si le responsable du traitement était autorisé à poursuivre le traitement des données du plaignant en les mettant à disposition sur le web, portant ainsi atteinte à la sphère de confidentialité de la personne concernée ». Par ailleurs, l’autorité note « qu’il ne semble pas y avoir, à l’heure actuelle, de raisons spécifiques d’intérêt public justifiant le maintien de l’article en question en dehors des archives du site ; »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GDPD (autorité italienne)

Lancement du jumelage avec la Bosnie-Herzégovine. L’Autorité soutiendra la mise en œuvre de la réforme de l’administration publique dans ce pays des Balkans, candidat à l’adhésion à l’UE à partir de 2022.

L’Autorité italienne a annoncé soutenir la mise en œuvre de la réforme de l’administration publique dans ce pays des Balkans, candidat à l’adhésion à l’UE à partir de 2022.  Données ouvertes, services accessibles, gouvernance transparente. Tel est le slogan du jumelage avec la Bosnie-Herzégovine stipulé par un consortium italo-finlandais auquel participe également le Garante per la protezione dei dati personali (GPDP), et composé de l’agence publique CSI Piemonte, Eutalia, (une agence publique à laquelle participe le MEF), et l’institut HAUS, leader en Finlande dans la formation au secteur public.

Les activités de jumelage visent à mettre en œuvre la réforme de l’administration publique de la Bosnie-Herzégovine, qui a reçu en décembre 2022 le statut de candidat à l’adhésion à l’Union européenne, avec l’objectif d’améliorer la prestation de services aux citoyens, grâce au renforcement de la capacité technique de l’agence administrative pour les documents d’identification, les registres et l’échange de données du pays des Balkans (IDDEEA).

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut