Dernières actualités : données personnelles

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège : amende de 250 000 couronnes (environ 21 000 euros) infligée à la municipalité de Grue

L’autorité norvégienne a annoncé ce jour avoir décidé d’imposer une amende de 250 000 NOK (environ 21 000 euros) à la municipalité de Grue (comptant environ 5000 habitants) pour avoir violé les exigences du règlement général sur la protection des données.  En février 2024, l’autorité norvégienne de protection des données a reçu une notification de violation de données à caractère personnel de la part de la municipalité de Grue. Selon cette notification, la municipalité a appris que deux entrées dans le journal officiel local contenaient des données personnelles sensibles. Il s’est avéré qu’il s’agissait d’informations relatives à des décisions dites « 9A » en vertu de la loi sur l’éducation, qui sont des décisions individuelles concernant le droit des élèves à un environnement scolaire sûr. Ces documents contenaient le nom des élèves, leur date de naissance, leur numéro d’identité national ainsi que des informations sur les décisions 9A et les raisons qui les ont motivées. En outre, les numéros de téléphone et les adresses des parents ont été publiés.

Après un examen plus détaillé des registres postaux datant de 2020, huit autres anomalies ont été découvertes pour un total de 14 élèves concernés (ainsi que leurs parents). Certaines d’entres elles incluaient des numéros de sécurité sociale ou des numéros de compte qui apparaissent dans divers documents de demande. Dans un cas, la municipalité a reçu une lettre de la police dans laquelle un nom apparaît dans une affaire criminelle. En conséquence, l’autorité norvégienne a estimé que la municipalité a manqué à son obligation d’assurer une sécurité adéquate conformément au règlement général sur la protection des données. En outre, elle estime que la municipalité a violé les exigences d’une base juridique en vertu du règlement général sur la protection des données en publiant des informations confidentielles sur le journal officiel électronique.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Sanction de 80.000 euros à une entreprise qui faisait des sauvegardes pendant la relation de travail

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné une entreprise à hauteur de 80.000 euros pour avoir, au cours de la relation de travail, utilisé un logiciel pour sauvegarder ses courriers électroniques, en conservant à la fois le contenu et les logs d’accès au courrier électronique et au système de gestion de la société. Les informations collectées ont ensuite été utilisées par l’entreprise dans le cadre d’un litige.

L’autorité rappelle qu’en Italie, l’employeur ne peut pas accéder à la messagerie électronique d’un employé ou d’un collaborateur ou utiliser un logiciel pour conserver une copie des messages. Un tel traitement de données à caractère personnel constitue non seulement une violation des règles relatives à la protection des données à caractère personnel, mais est également susceptible d’entraîner une surveillance illicite de l’employé. Elle rajoute que la conservation systématique des courriers électroniques – effectuée sur une longue période (égale à trois ans après la fin de la relation) – et la conservation systématique des journaux d’accès aux courriers électroniques et au système de gestion utilisé par les employés n’étaient pas conformes aux règles de protection des données. En effet, cette conservation n’était pas proportionnée et nécessaire pour atteindre les objectifs déclarés par l’entreprise d’assurer la sécurité du réseau informatique et la continuité de l’activité de l’entreprise.
En outre, elle a permis à l’entreprise de reconstituer en détail l’activité de l’employé, ce qui constitue une forme de contrôle interdite par le statut des travailleurs.

L’zutorité a également constaté l’inadaptation et la déficience des informations fournies aux travailleurs. En effet, le document prévoyait la possibilité pour l’employeur d’accéder aux courriels de ses employés et collaborateurs afin d’assurer la continuité des activités de l’entreprise, en cas d’absence ou de cessation de la relation, sans mentionner, entre autres, la sauvegarde et la durée de conservation correspondante. Ainsi, outre l’amende, l’autorité italienne a ordonné l’interdiction de tout traitement ultérieur de données par le biais du logiciel utilisé pour la sauvegarde des courriers électroniques.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

UODO (autorité polonaise)

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut