Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost

L’autorité en Finlande a aujourd’hui annoncé avoir  imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils en aient fait la demande et cela a été jugé illégal par l’autorité. Cette affaire a commencé par des plaintes concernant la transmission de lettres au service en ligne de la Poste (MyPost, donc)  sans le consentement du client. L’autorité a enquêté et a constaté que la boîte aux lettres électronique était reliée à un ensemble plus large de services, y compris la redirection du courrier et le service « Mon point de retrait ». Le client ne pouvait pas choisir d’utiliser ou non la boîte MyPost parce que les différents services étaient liés dans un seul contrat. De plus, la boîte aux lettres électronique ne pouvait être supprimée sans que les autres services ne le soient également.

« Le client a pu être surpris de constater qu’une boîte aux lettres électronique avait été créée pour lui, alors qu’il avait demandé un autre service. Une personne peut avoir reçu du courrier dans une boîte aux lettres électronique sans le savoir, ce qui peut entraîner des problèmes avec les factures, par exemple », explique Anu Talus, contrôleur de la protection des données.

Un certain nombre de reproches ont ainsi été formulés :
* Les données à caractère personnel ne peuvent être traitées sur le fondement de la base légale du contrat que si elles sont nécessaires à la réalisation de l’objectif principal du contrat. Or, l’autorité a estimé que la souscription à un service particulier ne peut pas exiger que les données à caractère personnel soient également utilisées à d’autres fins, c’est-à-dire pour les autres services.
* La Poste n’a pas informé ses clients de manière suffisamment claire sur l’activation de la boîte électronique. Pire, ils ont été induits en erreur : la Poste mentionnait qu’après l’introduction du service MyPost, ils pourraient encore recevoir des lettres par courrier papier uniquement s’ils le souhaitaient. En réalité, cette option n’était pas disponible.
* Le service MyPost comportait également des paramètres techniques qui ne répondaient pas aux exigences en matière de protection des données. Il s’agissait notamment d’une case à cocher activée automatiquement et d’une case pré-cochée.

Conséquence pour la Poste : une amende de 2,4 millions d’euros et une injonction de se mettre en conformité avec le RGPD. En réponse, la Poste a annoncé qu’elle allait corriger ces paramètres de manière à ce que la réception du courrier uniquement par voie électronique ne soit plus présélectionnée. Selon la Poste, les clients pourront désormais choisir s’ils souhaitent recevoir des copies électroniques de leurs lettres papier dans leur boîte MyPost.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Sanction de 80.000 euros à une entreprise qui faisait des sauvegardes pendant la relation de travail

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné une entreprise à hauteur de 80.000 euros pour avoir, au cours de la relation de travail, utilisé un logiciel pour sauvegarder ses courriers électroniques, en conservant à la fois le contenu et les logs d’accès au courrier électronique et au système de gestion de la société. Les informations collectées ont ensuite été utilisées par l’entreprise dans le cadre d’un litige.

L’autorité rappelle qu’en Italie, l’employeur ne peut pas accéder à la messagerie électronique d’un employé ou d’un collaborateur ou utiliser un logiciel pour conserver une copie des messages. Un tel traitement de données à caractère personnel constitue non seulement une violation des règles relatives à la protection des données à caractère personnel, mais est également susceptible d’entraîner une surveillance illicite de l’employé. Elle rajoute que la conservation systématique des courriers électroniques – effectuée sur une longue période (égale à trois ans après la fin de la relation) – et la conservation systématique des journaux d’accès aux courriers électroniques et au système de gestion utilisé par les employés n’étaient pas conformes aux règles de protection des données. En effet, cette conservation n’était pas proportionnée et nécessaire pour atteindre les objectifs déclarés par l’entreprise d’assurer la sécurité du réseau informatique et la continuité de l’activité de l’entreprise.
En outre, elle a permis à l’entreprise de reconstituer en détail l’activité de l’employé, ce qui constitue une forme de contrôle interdite par le statut des travailleurs.

L’zutorité a également constaté l’inadaptation et la déficience des informations fournies aux travailleurs. En effet, le document prévoyait la possibilité pour l’employeur d’accéder aux courriels de ses employés et collaborateurs afin d’assurer la continuité des activités de l’entreprise, en cas d’absence ou de cessation de la relation, sans mentionner, entre autres, la sauvegarde et la durée de conservation correspondante. Ainsi, outre l’amende, l’autorité italienne a ordonné l’interdiction de tout traitement ultérieur de données par le biais du logiciel utilisé pour la sauvegarde des courriers électroniques.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

DPA (autorité grecque)

Sanctions administratives imposées à un parti politique et à deux de ses dirigeants pour utilisation illégale de fichiers de listes électorales et absence de mesures de protection des données

Ce jour, l’autorité grecque a publié une sanction à l’encontre d’un parti politique et de deux de ses dirigeants pour avoir utilisé illégalement utilisé les listes électorales.  Cette affaire commence lorsqu’une plainte a été déposée contre une eurodéputée de la Nouvelle Démocratie. Il lui est en effet reproché d’avoir utilisé les données personnelles d’électeurs grecs vivant à l’étranger à des fins de communication politique en dehors de la période électorale. Les données en question, comprenant les noms, adresses e-mail et pays de résidence, ont été collectées par un ancien secrétaire de la Nouvelle Démocratie à l’aide de l’application WhatsApp et provenaient des registres du Ministère de l’Intérieur, initialement destinées à l’exercice du droit de vote.

L’enquête menée par l’Autorité de protection des données permis de confirmer les faits, et a également permis de qualifier plusieurs manquements grave par l’eurodéputée et son parti politique  :
* La collecte des données via WhatsApp est illégale, car effectuée sans l’accord des électeurs et en dehors des procédures électorales légales.
* L’eurodéputée a créé un fichier contenant ces données personnelles et l’a importé dans MailChimp pour envoyer des communications politiques, sans consentement des électeurs.
* L’argument de l’intérêt légitime (article 6(1)(f) du RGPD) invoqué par l’eurodéputée a été rejeté, car les droits des électeurs à la protection de leurs données personnelles l’emportent sur l’intérêt de l’eurodéputée à leur envoyer des informations politiques.
* Les électeurs concernés n’ont pas été suffisamment informés de l’usage de leurs données, en violation de l’article 14 du RGPD, qui exige la transparence.

L’Autorité a conclu que l’utilisation des données personnelles des électeurs grecs de l’étranger par l’eurodéputée constituait une violation des articles 5(1)(a) et 14 du RGPD concernant la légalité, la transparence et l’objectivité du traitement des données. Le Ministère de l’Intérieur a également été mis en cause pour ne pas avoir sécurisé adéquatement les données, permettant leur diffusion et traitement non autorisés. L’Autorité a donc ordonné la cessation de l’utilisation de ces données à des fins politiques et a recommandé des mesures de sécurité supplémentaires pour le Ministère de l’Intérieur.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut