Dernières actualités : données personnelles

Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux

L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le marketing électronique.

AFK Letters est une société qui rédige des lettres pour demander des indemnisations et des remboursements à ses clients. L’enquête menée par l’autorité britannique a permis de constater:
* Absence de consentement valable (équivalent de l’article 6 du RGPD et de la directive ePrivacy): Entre janvier et septembre 2023, AFK a utilisé des données collectées sur son propre site web et par une société d’enquête téléphonique tierce pour effectuer 95 277 appels de marketing sans être en mesure de démontrer un consentement valide et spécifique de la part des personnes contactées. Bien que l’AFK ait affirmé ne pas pouvoir fournir de preuve de consentement parce qu’elle supprimait toutes les données des clients après trois mois, lorsque l’ICO l’a interrogée, elle n’a pas non plus été en mesure de fournir des enregistrements de consentement pour plusieurs appels effectués au cours de cette période de trois mois.

* Information incomplète (équivalent de l’article 13 du RGPD): Le fournisseur de données tiers de l’AFK utilisait des déclarations de consentement qui ne mentionnaient pas spécifiquement l’AFK lorsqu’il demandait au public de consentir à être appelé. En outre, la politique de confidentialité de l’AFK ne mentionnait que les contacts par courrier électronique et n’indiquait pas que les personnes recevraient également des appels téléphoniques.

En conséquence, l’entreprise a été condamnée à l’amende pré-citée, et devra améliorer ses pratiques.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Fournisseur de logiciels condamné à une amende de 3 millions de livres sterling suite à une attaque par ransomware en 2022

L’ICO a aujourd’hui annoncé avoir infligé une amende de 3,07 millions de livres sterling (soit à peu près la même somme en euros) à Advanced Computer Software Group Ltd (Advanced) pour des manquements en matière de sécurité qui ont mis en danger les informations personnelles de 79 404 personnes., en ce compris des données de santé.

Advanced fournit des services informatiques et logiciels à des organisations, y compris le NHS et d’autres fournisseurs de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations. En août 2022. Des pirates informatiques ont accédé à certains systèmes de la filiale d’Advanced spécialisée dans la santé et les soins via un compte client qui ne disposait pas d’une authentification multifactorielle (MFA). La cyberattaque a fait l’objet d’une large couverture médiatique à l’époque, avec des rapports faisant état d’une perturbation des services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients.

L’enquête a révélé que des informations personnelles appartenant à 79 404 personnes avaient été dérobées, y compris des détails sur la manière d’entrer au domicile de 890 personnes qui recevaient des soins à domicile. Lors de son enquête, l’ICO a estimé que la filiale d’Advanced  n’avait pas mis en place les mesures techniques et organisationnelles appropriées de l’article 32 du RGPD pour assurer la sécurité de ses systèmes de santé et de soins avant l’incident de 2022 – notamment des lacunes dans le déploiement de l’AMF, l’absence d’analyse complète des vulnérabilités et une gestion inadéquate des correctifs.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Déclaration de l’ICO sur l’enquête concernant 23andMe

« L’information génétique est l’une des données personnelles les plus sensibles qu’une personne puisse confier à une entreprise, et les organisations traitant de telles données sont tenues de maintenir un niveau de sécurité et de gouvernance très élevé conformément au RGPD britannique. L’ICO et le Bureau du Commissaire à la vie privée du Canada enquêtent conjointement sur la violation de données que 23andMe nous a d’abord signalée en octobre 2023. Plus tôt ce mois-ci, nous avons remis à 23andMe nos conclusions provisoires, un avis d’intention d’imposer une amende de 4,59 millions de livres sterling et un avis d’exécution préliminaire. Nous tenons à souligner que ces conclusions sont provisoires et, comme pour toutes les conclusions préliminaires, elles sont soumises aux représentations de 23andMe, y compris en ce qui concerne les considérations d’accessibilité financière. L’ICO examinera attentivement toute représentation faite avant de prendre une décision finale.

« Nous sommes conscients que 23andMe a déposé une demande de protection au titre du Chapitre 11 aux États-Unis (équivalent du redressement judiciaire) pour faciliter un processus de vente. Nous surveillons la situation de près et sommes en contact avec l’entreprise. En vertu de la loi britannique, les protections et restrictions du RGPD britannique continuent de s’appliquer et 23andMe demeure sous l’obligation de protéger les informations personnelles de ses clients. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Enquêtes annoncées sur la manière dont les plateformes de médias sociaux et de partage de vidéos utilisent les informations personnelles des enfants au Royaume-Uni

L’ICO a aujourd’hui annoncé ouvrir trois enquêtes sur la manière dont TikTok, Reddit et Imgur protègent la vie privée de leurs utilisateurs mineurs au Royaume-Uni :
* L’enquête sur TikTok examine comment la plateforme utilise les informations personnelles des 13 à 17 ans au Royaume-Uni pour leur faire des recommandations et livrer du contenu suggéré dans leurs fils d’actualité.
* Les enquêtes sur Imgur et Reddit examinent comment les plateformes utilisent les informations personnelles des enfants britanniques et leur utilisation de mesures d’assurance d’âge. L’assurance d’âge joue un rôle important dans la protection des enfants et de leurs informations personnelles en ligne. Il existe des outils ou des approches qui peuvent aider à estimer ou vérifier l’âge d’un enfant, ce qui permet ensuite d’adapter les services à leurs besoins ou de restreindre l’accès.

Cela survient à la lumière des préoccupations croissantes concernant l’utilisation par les plateformes de médias sociaux et de partage de vidéos des données générées par l’activité en ligne des enfants dans leurs systèmes de recommandation, ce qui pourrait conduire les jeunes à être exposés à du contenu inapproprié ou nuisible. À ce stade, l’ICO enquête pour déterminer s’il y a eu des violations de la législation sur la protection des données. Si nous trouvons des preuves suffisantes que l’une de ces entreprises a enfreint la loi, nous les soumettrons à ces accusations et obtiendrons leurs représentations avant de parvenir à une conclusion finale.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Au Royaume-Uni, le générateur de conseils en marketing direct facilite la conformité des organisations avec la loi

L’ICO a annoncé avoir lancé un outil en ligne gratuit pour aider les organisations à s’assurer que leurs activités de marketing direct respectent la loi britannique, à savoir le Règlement sur la confidentialité et les communications électroniques (PECR) et le RGPD britannique. En utilisant le générateur de conseils en marketing direct, les petites organisations obtiendront des conseils de conformité fiables, adaptés à leurs propres activités de marketing direct, en quelques minutes. Cela permet aux organisations d’atteindre et de promouvoir leurs produits et services auprès des clients nouveaux et existants, ainsi que de partager leurs objectifs et idéaux – et peut les aider à s’assurer qu’elles contactent des personnes qui sont heureuses d’entendre parler d’elles. En fin de compte, ils économisent du temps et de l’argent et protègent leur réputation.

L’outil, qui couvre les courriels, les SMS, le publipostage, les médias sociaux, le télémarketing et d’autres encore, permet aux petites organisations d’accéder plus rapidement et plus facilement aux conseils appropriés pour les différents types de marketing direct. En répondant à quelques questions simples, l’outil rassemblera les conseils pertinents en un seul endroit. Les organisations peuvent ainsi consacrer moins de temps à déterminer quels conseils s’appliquent à leurs activités de marketing direct et plus de temps à la gestion de leur entreprise.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO prend des mesures pour s’attaquer à la conformité des cookies sur les 1 000 principaux sites web du Royaume-Uni

L’ICO a aujourd’hui annoncé avoir commencé la mise en œuvre de plans visant à mettre les 1 000 premiers sites web du Royaume-Uni en conformité avec la loi sur la protection des données. Celle-ci a déjà évalué la conformité des 200 premiers sites web britanniques et fait part de nos préoccupations à 134 de ces organisations, en établissant des attentes réglementaires claires selon lesquelles les organisations doivent se conformer à la loi en donnant aux gens un choix significatif sur la façon dont leurs informations personnelles sont utilisées en ligne.

Cette action s’inscrit dans le cadre de sa stratégie de suivi en ligne pour 2025, qui vise à garantir que les personnes disposent d’un contrôle significatif sur la manière dont leurs informations personnelles sont suivies et utilisées en ligne. La stratégie prévoit de s’attaquer aux dommages importants qui peuvent survenir en cas d’utilisation abusive des pratiques de suivi en ligne.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ESL Consultancy Services Ltd (ESL) condamnée à une amende de 200 000 £ pour avoir incité à l’envoi de messages texte nuisibles de promotion de prêts illégaux

L’ICO a aujourd’hui annoncé avoir infligé une amende de 200 000 £ (soit 236 620€) à la société ESL Consultancy Services Ltd (ESL) basée dans le West Sussex pour avoir sciemment encouragé l’envoi de messages texte nuisibles de promotion de prêts illégaux à des personnes qui n’avaient pas consenti à les recevoir. L’autorité indique que ESL a attiré son attention dans le cadre d’une enquête distincte sur un spécialiste du marketing d’affiliation et un générateur de leads. Au cours de l’enquête, ce spécialiste a créé la société Taipan Trading Ltd (TTL) dans le but apparent de paraître plus légitime et dans l’espoir que l’ESL fasse de la société un représentant désigné auprès de la Financial Conduct Authority.

L’analyse des preuves collectées au cours d’une perquisition auprès de ce fameux spécialiste a conduit l’ICO à exécuter un mandat de perquisition à l’adresse du siège social d’ESL, saisissant des téléphones mobiles, des ordinateurs portables, des tablettes et des disques de stockage externes. Cela permis à l’ICO, notamment, de constater qu’entre septembre 2022 et décembre 2023, l’entreprise a utilisé TTL pour envoyer des messages textuels de marketing sans s’assurer qu’un consentement valide était en place pour l’envoi des messages. ESL a également pris des mesures pour tenter de dissimuler l’identité de l’expéditeur des messages en utilisant des cartes SIM non enregistrées, en conséquence de quoi l’ICO a reçu 37 977 plaintes.

Les éléments collectés comprenaient  nombreuses conversations Skype entre ESL et TTL au sujet de leur accord commercial. Celles-ci ont montré qu’ESL a demandé des détails sur le consentement préalable sur lequel TTL s’appuyait pour envoyer les SMS, déclarant : « L’ICO est sur tout le monde en ce moment [sic], donc tant que nous avons quelque chose à montrer, c’est bon ». TTL a répondu en déclarant « à proprement parler, cela n’existe pas encore ».

Conséquence pour ESL ? Une amende d’environ 236 000€. Il est onéreux, ce quelque chose qui n’existe pas !

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.