Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège: l’autorité poursuit l’enquête sur l’utilisation de données de santé par des hôpitaux

Depuis le lancement de la solution de dossier médical qui communique entre les différents niveaux de responsabilité appelée « plateforme de santé » en mai 2022, l’autorité norvégienne de protection des données a reçu de nombreux rapports concernant des atteintes à la sécurité des données à caractère personnel (appelés « rapports de déviation »). Au vu de l’envergure du système, l’autorité indique qu’elle s’attendait à ce que certaines déviations se produisent au cours du déploiement, ce qui explique pourquoi elle a choisi, dans un premier temps, de suivre l’évolution de la situation de manière continue. Toutefois, compte tenu du nombre total de non-conformités, où les erreurs sont plus ou moins graves, elle a finalement de procéder à un audit de la plateforme de santé.

En particulier, dans la suite de contrôles réalisés en mai  l’autorité norvégienne a annoncé de nouveaux audits de la plateforme de santé à l’hôpital St. Olavs HF et à la municipalité de Melhus. Lors de ces audits qui auront lieu le 22 et 23 octobre, il s’agira d’éxaminer plus en détail si les mesures techniques et organisationnelles mises en œuvre par les entreprises répondent aux exigences en matière de sécurité des données à caractère personnel. Les thèmes principaux sont la gestion des accès et la gestion des non-conformités, et nous examinerons les responsabilités, les routines, l’organisation technique et la fonction opérationnelle à un niveau plus élevé.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Les organisations informent insuffisamment les victimes de violations de données, l’AP donne des conseils.

Les personnes victimes d’une violation de données reçoivent souvent des informations insuffisantes de la part de l’organisation concernée. Cela fait que les victimes ne sont pas suffisamment conscientes du risque d’utilisation abusive de leurs données personnelles. Elles ne savent pas non plus ce qu’elles peuvent faire pour réduire les risques, par exemple, de fraude en ligne. C’est ce que met en garde l’Autorité de protection des données (AP) suite à une enquête sur les plus grandes violations de données de 2023.

Plus précisément, l’AP a répertorié plus de 50 des plus grandes violations de données de 2023 dans le cadre de l’enquête. Les données de quelque 10 millions de personnes ont été affectées par ces fuites, qui ont été principalement causées par des cyberattaques. Elle estime que les organisations sont souvent beaucoup trop lentes à envoyer leurs avertissements (plus de 3 semaines en moyenne), que près de la moitié des messages n’indiquent pas clairement ce qui s’est passé et quelles données ont été divulguées, et que plus de la moitié des messages ne sont pas non plus rédigés de manière suffisamment claire. En outre, les courriels d’avertissement manquent parfois d’un titre ou d’une introduction alarmants, avec le risque que le destinataire ne lise même pas le message.

Au cours de l’enquête, les organisations elles-mêmes ont exprimé des difficultés à réaliser des messages d’alertes satisfaisants. Pour aider les organisations aux Pays-Bas, l’AP propose des exemples concrets de textes pour les messages d’avertissement concernant les violations de données.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut