Dernières actualités : données personnelles

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Firefox vous suit à la trace grâce à une fonction de préservation de la vie privée

Aujourd’hui, noyb a déposé une plainte contre Mozilla pour avoir discrètement activé une prétendue « fonction de confidentialité » (appelée « Privacy Preserving Attribution ») dans son navigateur Firefox. Contrairement à son nom rassurant, cette technologie permet à Firefox de suivre le comportement des utilisateurs sur les sites web. En substance, c’est le navigateur qui contrôle le suivi, et non plus les sites web individuels. Bien qu’il s’agisse d’une amélioration par rapport au suivi des cookies, encore plus invasif, l’entreprise n’a jamais demandé à ses utilisateurs s’ils souhaitaient l’activer. Au lieu de cela, Mozilla a décidé de l’activer par défaut une fois que les utilisateurs ont installé une récente mise à jour logicielle. Cette décision est d’autant plus inquiétante que Mozilla a généralement la réputation d’être une alternative respectueuse de la vie privée, alors que la plupart des autres navigateurs sont basés sur Chromium de Google.

Disponible sur: noyb.eu

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Pour l’autorité espagnole, l’arrivée d’une demande d’exercice des droits dans les « spam » n’excuse pas le fait de ne pas y répondre

Il y a quelques semaines, l’AEPD a condamné la société INEXPRIV (éditrice du site internet « cine.com« ), qui référence des films ainsi que les acteurs) pour ne pas avoir respecté ses obligations en matière d’exercice des droits. Cette affaire commence avec une demande d’exercice des droits : le plaignant a demandé le retrait de photographies le représentant sur le site, où ces photographies figuraient à côté de son nom sur des pages web consacrées à des films auxquels le plaignant avait participé. Ces photographies avaient été obtenues sur d’autres sites où les photographies du plaignant avaient déjà été retirées.

Le plaignant ne reçoit pas de réponse et dépose finalement une plainte à l’AEPD. Au cours de l’enquête, INEXPRIV indique « qu’il n’a pas été possible d’agir en raison de l’ignorance de l’affaire jusqu’à ce que nous ayons pris connaissance de votre notification. » et note que le jour même de sa lecture, la page web du requérant a été supprimée. La société précisera que « les courriels du plaignant sont arrivés dans le dossier SPAM, de sorte que nous n’étions pas au courant de cette situation jusqu’à ce que cette notification électronique nous soit envoyée. »

Néanmoins, cette excuse ne suffira pas à l’autorité espagnole qui décide d’entamer une procédure d’avertissement. La société demandé la suppression de la procédure au regard de sa réactivité et de sa bonne foi : celle-ci a en effet réagi aussitôt. L’AEPD décide toutefois d’aller au bout de sa démarche, citant pour le justifier les lignes directrices du 01/2022 du CEPD, selon lesquelles  « il n’y a pas d’exigences spécifiques concernant le format d’une demande. Le responsable du traitement doit mettre à disposition des canaux de communication appropriés et conviviaux qui peuvent être facilement utilisés par la personne concernée. Toutefois, la personne concernée n’est pas obligée d’utiliser ces canaux spécifiques et peut envoyer sa demande à un point de contact officiel du responsable du traitement. Le responsable du traitement n’est pas tenu de répondre aux demandes envoyées à des adresses totalement aléatoires ou apparemment incorrectes. »  Elle rappelle également qu’en l’occurrence, le plaignant s’est bel est bien adressé à une adresse électronique fournie par INEXPRIV pour la demande de suppression.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’APD prend des mesures à l’encontre de Mediahuis pour l’utilisation illicite de bannières de cookies sur des sites de presse

L’APD a reçu des plaintes d’un citoyen néerlandais, représenté par NOYB pour utilisation illicite de bannières de cookies sur 4 sites de presse de Mediahuis. Le plaignant indique, via son représentant mandaté (NOYB), que les sites de presse ne proposent pas de bouton « Tout refuser » au premier niveau d’information de la bannière de cookies et utilisent des boutons de couleurs trompeuses (“deceptive design patterns” ou « interfaces trompeuses »). Le plaignant signale également qu’il n’est pas très facile de retirer son consentement et que des cookies non strictement nécessaires ne peuvent être placés qu’après le recueil du consentement. L’APD a décidé d’initier une procédure de transaction pour ces plaintes mais la proposition de transaction n’ayant pas été entièrement acceptée, elle a procédé à un examen du dossier sur le fond.

Ayant pu confirmer les faits à la suite d’une enquête, l’APD a ordonné à Mediahuis de procéder aux ajustements nécessaires dans les 45 jours suivant la notification de sa décision en 1) adaptant les bannières de cookies (au niveau du bouton de refus) 2) sans utiliser de couleurs de boutons trompeuses. Si les bannières de cookies ne sont toujours pas conformes à partir du 46e jour qui suit la notification de la décision, pour chaque injonction non respectée, une astreinte de 25.000 EUR par jour et par site de presse non conforme sera infligée. L’APD formule en outre également une réprimande à l’encontre de Mediahuis et souligne que la société ne peut placer et lire des cookies strictement nécessaires que sur la base de l’intérêt légitime.

Disponible sur: autoriteprotectiondonnees.be