Dernières actualités : données personnelles

UODO (autorité polonaise)

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

ICO (autorité anglaise)

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d’assistance au contentieux). Ce Code de conduite est le fruit de l’article 40 du « UK GDPR » [équivalent de l’article 40 du RGPD européen], selon lequel les organisations peuvent créer des codes de conduite qui identifient et abordent les questions de protection des données qui sont importantes pour leur secteur. Ce code, auquel les enquêteurs du secteur privé peuvent adhérer, apportera certitude et assurance à ceux qui utilisent leurs services, en garantissant que les enquêteurs se conforment aux exigences du GDPR britannique.

Il aidera les enquêteurs à relever le défi de mener des enquêtes tout en respectant le droit à la vie privée des personnes. Le code aborde les principales questions de protection des données auxquelles est confronté le secteur des enquêtes privées. Par exemple, les rôles et responsabilités des membres du code lorsqu’ils agissent en tant que contrôleurs de données, contrôleurs conjoints ou processeurs, et quand et comment réaliser une évaluation de l’impact de la protection des données. Il aide également les membres du code à identifier et à documenter la base légale correcte pour le traitement invisible – y compris la surveillance secrète, les dispositifs de repérage, les vérifications d’antécédents et la surveillance des médias sociaux. D’autres conseils sont également inclus, avec des exemples, pour tracer et localiser légalement des personnes.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

  • Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.
  • Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
    Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
    Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.
  • Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
    La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C‑507/23

En cas de violation de données, des excuses peuvent suffire à réparer le dommage moral, mais la bonne foi du responsable de traitement n’importe pas

Dans un arrêt publié ce jour, la Cour a d’abord rappelé qu’une violation de dispositions du RGPD ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. S’agissant de ce dommage, la CJUE a alors ajouté que : 
1- La présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
2- Le RGPD s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

CJUE – Arrêt 461/22

Curatelle: selon la CJUE, un ancien curateur traitant les données de la personne protégée doit être qualifié de responsable de traitement

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant ce qui semble être des particuliers, la Cour de Justice de l’UE a été amenée à préciser si un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, des données à caractère personnel en sa possession concernant cette personne. La détermination du rôle de cet ancien curateur n’est pas sans conséquences puisqu’elle emporte la nécessite de respecter l’intégralité des obligations du RGPD ou non.

Dans un premier temps, en réponse à des doutes exprimés par la juridiction de renvoi, la CJUE écarte l’exception domestique en précisant que le RGPD est bien applicable dans la mesure où le curateur exerce ses fonctions à titre professionnel, et ce même si le curateur est une personne proche de la personne concernée.

Dans un second temps, et sans réellement se prononcer sur le « rôle RGPD » du curateur lorsqu’il exerce toujours ses fonctions, elle observe  en tout cas qu’un « ancien curateur est une personne tierce à l’égard d’une personne qui a été placée sous sa curatelle par le passé « . Dès lors, et de manière assez mécanique, la CJUE estime qu’ « un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, de données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut