Dernières actualités : données personnelles

NOYB – None of your business

Firefox vous suit à la trace grâce à une fonction de préservation de la vie privée

Aujourd’hui, noyb a déposé une plainte contre Mozilla pour avoir discrètement activé une prétendue « fonction de confidentialité » (appelée « Privacy Preserving Attribution ») dans son navigateur Firefox. Contrairement à son nom rassurant, cette technologie permet à Firefox de suivre le comportement des utilisateurs sur les sites web. En substance, c’est le navigateur qui contrôle le suivi, et non plus les sites web individuels. Bien qu’il s’agisse d’une amélioration par rapport au suivi des cookies, encore plus invasif, l’entreprise n’a jamais demandé à ses utilisateurs s’ils souhaitaient l’activer. Au lieu de cela, Mozilla a décidé de l’activer par défaut une fois que les utilisateurs ont installé une récente mise à jour logicielle. Cette décision est d’autant plus inquiétante que Mozilla a généralement la réputation d’être une alternative respectueuse de la vie privée, alors que la plupart des autres navigateurs sont basés sur Chromium de Google.

mozilla tracking

Disponible sur: noyb.eu

Comité européen sur la protection des données (EDPB)

Risques liés à l’IA : Reconnaissance optique de caractères et reconnaissance d’entités nommées

L’EDPC a lancé un projet viser à aider les responsables du traitement des données qui utilisent l’IA aux fins de reconnaissance optique de caractères et reconnaissance d’entités nommées à effectuer une évaluation des risques en matière de protection des données et les autorités chargées de la protection des données à évaluer la validité et l’efficacité de cette évaluation dans le cadre de leurs enquêtes. Pour les deux technologies, l’expert externe a identifié les risques spécifiques en matière de protection des données et de la vie privée posés par l’acquisition, le développement et l’utilisation de la technologie en question.

Le projet sur les risques liés à l’IA comprend plusieurs éléments livrables disponibles (en anglais) ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

DPC (autorité irlandaise)

L’entreprise américaine de commerce électronique Groupon reprimandée par l’autorité irlandaise pour avoir exigé la pièce d’identité à l’occasion d’une demande d’exercice des droits

Le 8 mars 2024, la Commission de la protection des données (DPC) a adopté une décision à la suite de l’examen d’une plainte reçue contre Groupon Ireland Operations Limited (Groupon), qui concernait une demande d’accès et une demande d’effacement adressées à Groupon. En réponse à ces demandes, Groupon a d’abord demandé au plaignant de fournir une copie d’une pièce d’identité afin de vérifier son identité, ce à quoi le plaignant s’est opposé. Par la suite, Groupon a accepté les demandes du plaignant sans imposer une telle exigence. Toutefois, après avoir reçu ses données à caractère personnel, le plaignant n’était pas convaincu que toutes ses données à caractère personnel avaient été entièrement supprimées conformément à sa demande d’effacement.

Les questions examinées dans la décision de la DPC étaient les suivantes :
* Groupon a-t-il démontré de manière appropriée que les données à caractère personnel du plaignant avaient été entièrement effacées en réponse à la demande d’effacement ? Lors de l’enquête, la DPC n’a constaté aucune infraction.
* La demande d’identification de Groupon afin de vérifier l’identité du plaignant aux fins de leurs demandes initiales d’accès et d’effacement était-elle conforme aux obligations pertinentes de Groupon en vertu du GDPR ? Cette fois, la DPC a relevé des infractions à plusieurs articles du RGPD, notamment les articles 5, 6, 12, 15 et 17. En quelques mots, il est reproché à Groupon d’avoir de ne pas avoir respecté le principe de minimisation en demandant une carte d’identité alors que d’autres méthodes d’identification fiables et moins intrusives existaient (l’email associée au compte utilisateur), et de ne pas avoir donné suite aux demandes initiales du plaignant. Il lui est également reproché d’avoir poursuivi le traitement des données malgré la réception de la demande initiale d’effacement.

En conséquence de ces divers manquements, Groupon écope d’une simple réprimande, l’invitant à se mettre en conformité et à porter une meilleure attention aux demandes des personnes concernées.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

HAAS Avocats

CEPD/Cookies : Consentir ou payer, il faut choisir !

CEPD/Cookies : Consentir ou payer, il faut choisir !

Par Haas Avocats

Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a rendu un avis particulièrement attendu sur le nouveau
modèle du « consentir ou payer », développé par les plateformes en ligne afin de
monétiser l’accès à leurs services.

Disponible sur: haas-avocats.com

AEPD (autorité espagnole)

L’une des premières sanctions en lien avec les Paywalls revient au site internet Motorsport, condamné à 5000 euros d’amende

Le 14 mai 2024, en conséquence de « lacunes dans la politique de cookies du site, à savoir l’utilisation de cookies non techniques sans le consentement de l’utilisateur, l’impossibilité de les refuser ou de les gérer de manière granulaire et l’impossibilité de retirer le consentement une fois qu’il a été donné « , l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et une sanction de 5000 euros a été prononcée. Selon la LSSI telle que citée par l’AEPD, l’amende maximale encourue par la société pour cette infraction était de 30 000 euros.

Faisant suite à une plainte du 22 mai 2023 au motif que la société éditant le site utilisait une forme illégale de consentement aux cookies sur son site web en vous obligeant à accepter les cookies pour accéder gratuitement au contenu ou à vous abonner moyennant paiement si vous ne souhaitez pas que des cookies soient installés, les enquêteurs de l’AEPD ont découvert que :  « Si vous souhaitez refuser tous les cookies […], vous constaterez que le site web continue à utiliser les cookies détectés au début de la navigation. Aussi, une fois que vous avez confirmé vos préférences (sans avoir donné votre consentement à l’utilisation de cookies), le site web affiche une nouvelle bannière d’information indiquant qu’il n’y a que deux possibilités pour continuer à naviguer sur le site web : soit vous acceptez tous les cookies au préalable, soit vous devez devenir membre moyennant une cotisation mensuelle (où il est assuré, selon les informations fournies dans la bannière, qu’aucun cookie ne sera installé).
En outre, en cas de tentative de retrait du consentement, le site web réaffichait la bannière d’information dans laquelle il était uniquement possible d’accepter ou de « devenir membre » en payant une redevance mensuelle, rendant de facto impossible le retrait du consentement. »

[Ajout contextuel Portail RGPD: Cette sanction fait suite aux récentes lignes directrices publiées par le CEPD en la matière, et selon lesquelles le  CEPD considère que dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. Cette sanction est à notre connaissance la première en la matière et pourrait servir d’avertissement pour tout l’écosystème. ]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut