Dernières actualités : données personnelles

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

Disponible sur: noyb.eu

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité prononce une ordonnance de mise en conformité pour l’installation illégale d’un système de vidéosurveillance dans une maison

Dans un communiqué de la semaine dernière et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant l’installation d’un système de vidéosurveillance dans une maison en train de surveiller des espaces non privés. En l’occurrence, le plaignant faisait valoir que 2 des 8 caméras installées par ses voisins capturaient en continu des images de son balcon et de sa terrasse, ainsi que la voie publique. Le plaignant a exprimé son opposition au système de vidéosurveillance via un e-mail daté du 24 mars 2023, demandant des informations sur le dispositif ainsi que la restitution des enregistrements le concernant. Il a également accusé ses voisins d’avoir utilisé des captures vidéo et des photos le montrant dans des litiges judiciaires les opposant.

L’enquête menée par l’autorité grecque a confirmé les faits reprochés aux voisins, qui ont tenté de les justifier par les éléments suivants:
* L’installation est nécessaire du fait d’antécédents de cambriolage.
* Les intérêts du voisin priment sur les droits du plaignant.

Néanmoins, ces arguments n’ont pas convaincu l’autorité qui a jugé que les personnes concernées maintenaient le système de vidéosurveillance installé en violation des dispositions du RGPD et a ordonné l’arrêt de l’utilisation des caméras qui surveillent la voie publique et la maison du plaignant dans un délai de 15 jours. Elle a également demandé aux voisins de fournir la preuve de l’exécution de cette décision. Si les voisins souhaitent réactiver les caméras, ils doivent limiter la zone surveillée à ce qui est strictement nécessaire et obtenir une autorisation préalable en prouvant la légalité du système.
En revanche, pas d’amende pour cette fois !

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.