Dernières actualités : données personnelles

ICO (autorité anglaise)

ICO 2024 – une année en revue

Alors que 2024 s’achève, l’Information Commissioner’s Office (ICO) se penche sur une année fructueuse de changements visant à protéger les droits à l’information des personnes et à guider les organisations pour qu’elles s’améliorent continuellement afin de respecter leurs obligations légales. L’ICO est le régulateur indépendant du Royaume-Uni dont la mission est de donner aux citoyens les moyens d’exercer leurs droits en matière de protection des données et de liberté d’information. L’ICO réglemente l’ensemble de l’économie, y compris le gouvernement et le secteur public.

ICO 2024 – l’année en chiffres
36 049 plaintes relatives à la protection des données traitées
278 637 appels à notre ligne d’assistance téléphonique et 65 503 messages de chat en direct traités
44 400 signalements d’appels intempestifs et 1 270 000 millions de livres sterling d’amendes infligées pour ceux-ci
28 969 signalements de courriers électroniques non sollicités
1 991 cas de violation de données personnelles traités
179 enquêtes terminées
2 283 avis de décision émis
12 blâmes prononcés
41 Audits réalisés

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Réponse de l’ICO au changement de politique de Google concernant le fingerprinting

Stephen Almond, directeur exécutif des risques réglementaires de l’ICO : « Hier, Google a annoncé aux organisations qui utilisent ses produits publicitaires qu’à partir du 16 février 2025, il ne leur interdirait plus d’utiliser des techniques d’empreintes digitales. Notre réponse est claire : les entreprises ne sont pas libres d’utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être déployée de manière légale et transparente – et si ce n’est pas le cas, l’ICO interviendra. »

L’ICO estime que l’empreinte digitale n’est pas un moyen équitable de suivre les utilisateurs en ligne, car elle est susceptible de réduire le choix et le contrôle des personnes sur la manière dont leurs informations sont collectées. La modification de la politique de Google signifie que l’empreinte digitale pourrait désormais remplacer les fonctions des cookies tiers.

L’autorité estime que ce changement est irresponsable. Google a déjà déclaré que les empreintes digitales ne répondaient pas aux attentes des utilisateurs en matière de protection de la vie privée, car les utilisateurs ne peuvent pas facilement y consentir comme ils le feraient avec des cookies. Cela signifie qu’ils ne peuvent pas contrôler la manière dont leurs informations sont collectées. Pour citer la position de Google sur l’empreinte digitale en 2019 : « Nous pensons que cela subvertit le choix de l’utilisateur et que c’est une erreur ».

L’ICO continue à dialoguer avec Google sur ce revirement de position et sur l’écart qu’il représente par rapport à ce que nous attendons d’un internet respectueux de la vie privée. Lorsque la nouvelle politique entrera en vigueur le 16 février 2025, les organisations utilisant la technologie publicitaire de Google pourront déployer le fingerprinting sans enfreindre les propres règles de Google. Compte tenu de la position et de l’envergure de Google dans l’écosystème de la publicité en ligne, il s’agit d’une avancée significative.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants

L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir  délivré des avis d’exécution après avoir constaté qu’elles avaient passé de nombreux appels téléphoniques non sollicités à des personnes – qui avaient choisi de ne pas recevoir d’appels commerciaux – pour tenter de leur vendre une assurance-vie et des solutions de gestion de la dette:

1- Breathe Services Ltd (BSL), une société de conseil en matière d’endettement basée à Bolton, a d’abord attiré l’attention de l’autorité dans le cadre d’une enquête plus large sur des plaintes reçues concernant des appels téléphoniques non sollicités adressés à des personnes potentiellement vulnérables. Dans une tentative infructueuse de dissimuler sa véritable identité, BSL s’est avérée avoir usurpé son numéro de téléphone sortant en présentant plus de 1 000 numéros de téléphone différents lors des appels. L’enquête a révélé qu’entre mars et juillet 2022 et entre octobre et décembre 2022, BSL a bombardé les gens avec 4 376 037 appels de marketing direct non sollicités à des numéros qui avaient été enregistrés auprès du Telephone Preference Service (TPS). Cela a donné lieu à 58 plaintes auprès du TPS et à 193 autres plaintes auprès de l’ICO. Au cours de l’enquête, l’ICO a également découvert BSL avait délibérément tenté de dissimuler ses actions et avait cessé de coopérer avec l’ICO.
Conséquence pour l’entreprise ? Une amende de 170 000 livres sterling [soit quelques centimes par appel].

2- Money Bubble Ltd (MBL), une société de conseil financier basée à Oldham, a entre octobre et novembre 2022, la société a effectué 168 852 appels de spam, ce qui a donné lieu à plusieurs autres plaintes auprès de l’ICO et du TPS. MBL n’a pas prouvé que les personnes dont le numéro a été appelé avaient consenti à recevoir des appels de la société. Une amende de 120 000 livres sterling lui a été infligée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles

Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à l’issue d’une enquête menée par ses services. Manjra R., 44 ans, originaire de Bolton, dirigeait une équipe chargée des demandes d’indemnisation pour Markerstudy Insurance Services Limited (MISL), basée dans le centre de Manchester. Son comportement illégal a été découvert après que MISL a signalé à l’ICO qu’elle soupçonnait un employé d’accéder illégalement à ses systèmes.

Des assureurs tiers avaient soulevé des préoccupations concernant 185 demandes d’indemnisation suspectes, et une enquête interne a révélé que Manjra était impliqué dans 160 de ces demandes sans raison légitime. Parmi celles-ci, 147 n’avaient pas été transmises à l’équipe de Manjra et aucune raison légitime n’a pu être trouvée pour qu’il y accède. Lorsque MISL a examiné ses systèmes, ils ont découvert que Manjra avait accédé à plus de 32 000 dossiers d’assurance les week-ends, alors qu’il n’était pas supposé travailler. L’enquête de l’ICO, qui comprenait une perquisition au domicile de Manjra, a révélé qu’il envoyait à une autre personne des détails sur les données personnelles auxquelles il avait accédé par téléphone portable.

Lors d’une audience à la Manchester Crown Court le 30 octobre 2024, Manjra a plaidé coupable d’une infraction à la loi de 1990 sur l’utilisation abusive des ordinateurs (Computer Misuse Act 1990), relative à l’accès illégal à des données personnelles contenues dans des ordinateurs. Manjra a été condamné à Manchester Crown Court le mercredi 11 novembre à une peine de six mois de prison, suspendue pendant deux ans, et à 150 heures de travail non rémunéré.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur l’approche de l’autorité anglaise vis à vis du secteur public

Publié aujourd’hui, le bilan de l’essai de deux ans montre que l’approche du secteur public adoptée par l’ICO a eu un impact, avec quelques réalisations notables, des domaines où il reste à faire, des défis inattendus et des conséquences involontaires. L’examen montre clairement que la réglementation s’applique à tout un éventail de situations, étayées par la théorie politique mais aussi par les différentes approches adoptées par les autorités internationales chargées de la protection des données. Plutôt que d’être une action définitive, la réglementation est une série d’activités telles que l’orientation, l’engagement, les campagnes publiques et l’application, qui peuvent être combinées pour favoriser le changement. Les amendes ont leur place, mais il existe aussi d’autres moyens de réglementer. Les mesures d’incitation et de dissuasion ne fonctionnent pas de la même manière dans tous les secteurs de l’économie.

Au cours de la période d’essai, nous avons décidé de commencer à publier les blâmes sur notre site web, avec environ 60 blâmes adressés à des organismes publics. Nous avons constaté que des changements significatifs ont été apportés par les organisations à la suite d’un blâme. L’étude a montré que les autorités publiques considéraient la publication des blâmes comme un moyen de dissuasion efficace, principalement en raison de l’atteinte à la réputation et de l’impact potentiel sur la confiance du public, ainsi que de la manière dont ils peuvent être utilisés pour attirer l’attention des hauts responsables. Les services de l’administration centrale ont fait état d’un engagement accru et de changements positifs à la suite des réprimandes, en particulier grâce à notre interaction régulière avec le réseau des chefs des opérations de l’administration. En revanche, les organisations du secteur public au sens large ont fait preuve d’une sensibilisation limitée, ce qui signifie que nous devons faire davantage pour partager les meilleures pratiques et les enseignements tirés.

L’étude a également mis en évidence des domaines susceptibles d’être améliorés, notamment la manière dont nous devrions préciser quelles organisations entrent dans le champ d’application de l’approche du secteur public et quels types d’infractions peuvent donner lieu à une amende. Il a également montré qu’il restait du travail à faire pour atteindre des organisations du secteur public plus larges et mettre en place des interventions ciblées. En réfléchissant aux deux dernières années et en me fondant sur les résultats de l’examen, le Président de l’ICO a décidé de poursuivre l’approche du secteur public. « Mais j’ai également écouté les commentaires et je vais clarifier davantage ses paramètres. C’est pourquoi je lance une consultation sur le champ d’application de l’approche et sur les facteurs et circonstances qui justifieraient l’imposition d’une amende à une autorité publique. Vous pouvez en savoir plus et répondre à notre consultation sur notre site web avant le 31 janvier 2025. Nous utiliserons les contributions reçues pour informer et finaliser notre approche. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d’assistance au contentieux). Ce Code de conduite est le fruit de l’article 40 du « UK GDPR » [équivalent de l’article 40 du RGPD européen], selon lequel les organisations peuvent créer des codes de conduite qui identifient et abordent les questions de protection des données qui sont importantes pour leur secteur. Ce code, auquel les enquêteurs du secteur privé peuvent adhérer, apportera certitude et assurance à ceux qui utilisent leurs services, en garantissant que les enquêteurs se conforment aux exigences du GDPR britannique.

Il aidera les enquêteurs à relever le défi de mener des enquêtes tout en respectant le droit à la vie privée des personnes. Le code aborde les principales questions de protection des données auxquelles est confronté le secteur des enquêtes privées. Par exemple, les rôles et responsabilités des membres du code lorsqu’ils agissent en tant que contrôleurs de données, contrôleurs conjoints ou processeurs, et quand et comment réaliser une évaluation de l’impact de la protection des données. Il aide également les membres du code à identifier et à documenter la base légale correcte pour le traitement invisible – y compris la surveillance secrète, les dispositifs de repérage, les vérifications d’antécédents et la surveillance des médias sociaux. D’autres conseils sont également inclus, avec des exemples, pour tracer et localiser légalement des personnes.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Effet domino : l’impact dévastateur des violations de données

Imaginez une personne qui vient d’échapper à une relation abusive et dont l’adresse confidentielle est exposée à la suite d’une violation de données. Ou pensez à une personne vivant avec le VIH dont les informations médicales sont accidentellement divulguées. Il ne s’agit pas de scénarios rares ou exagérés – ils sont réels et se produisent. De telles violations peuvent entraîner la stigmatisation, la peur, la discrimination, voire un danger physique. Pour ceux qui se trouvent déjà dans une situation difficile, les effets peuvent être dévastateurs et changer leur vie.

La protection des données n’a jamais été une affaire d’ordinateurs ou de robots, mais de personnes. Les informations qui nous sont confiées ne se limitent pas à un ensemble de chiffres ou de détails : elles reflètent des vies individuelles. Pourtant, les chiffres révélés aujourd’hui par l’ICO montrent que 55 % des adultes ont vu leurs données perdues ou volées. Cela représente près de 30 millions de personnes. Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées. Il est alarmant de constater que 30 % des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables. Plus inquiétant encore, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue le sentiment de trahison.

Ces chiffres mettent en lumière un problème crucial : trop d’organisations ne mesurent pas pleinement le préjudice qu’elles causent lorsqu’elles traitent mal des données personnelles. Lorsqu’une violation de données se produit, il ne s’agit pas seulement d’une erreur administrative, mais d’une incapacité à protéger quelqu’un. Dans de nombreux cas, si cette personne se trouve dans une situation vulnérable, elle est déjà confrontée à d’innombrables défis personnels ou risque de subir des préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut