Dernières actualités : données personnelles

Événement des parties prenantes sur les « modèles d’IA » : manifestez votre intérêt à participer

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 5 novembre 2024 (heure à confirmer), visant à recueillir les contributions des parties prenantes dans le cadre d’une demande d’avis au titre de l’art. 64(2) du RGPD relatif aux modèles d’intelligence artificielle (« modèles d’IA ») soumise à l’EDPB par l’autorité irlandaise de protection des données (DPA).

Par le même article, l’EDPB lance également un appel à manifestation d’intérêt afin de sélectionner les participants à l’événement des parties prenantes de l’EDPB sur les modèles d’intelligence artificielle. Vous trouverez de plus amples informations sur cet événement et des instructions sur la manière de s’inscrire ci-dessous.  L’appel sera clôturé dès que le nombre de candidats sera suffisamment élevé pour assurer la participation d’un maximum de parties prenantes.
[EDIT: L’EDPB a annoncé dans un autre article avoir d’ores et déjà trouvé suffisamment de participants. Cet appel à manifestement est ainsi fermé.]

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

Disponible sur: noyb.eu

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.