Dernières actualités : données personnelles

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost

L’autorité en Finlande a aujourd’hui annoncé avoir  imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils en aient fait la demande et cela a été jugé illégal par l’autorité. Cette affaire a commencé par des plaintes concernant la transmission de lettres au service en ligne de la Poste (MyPost, donc)  sans le consentement du client. L’autorité a enquêté et a constaté que la boîte aux lettres électronique était reliée à un ensemble plus large de services, y compris la redirection du courrier et le service « Mon point de retrait ». Le client ne pouvait pas choisir d’utiliser ou non la boîte MyPost parce que les différents services étaient liés dans un seul contrat. De plus, la boîte aux lettres électronique ne pouvait être supprimée sans que les autres services ne le soient également.

« Le client a pu être surpris de constater qu’une boîte aux lettres électronique avait été créée pour lui, alors qu’il avait demandé un autre service. Une personne peut avoir reçu du courrier dans une boîte aux lettres électronique sans le savoir, ce qui peut entraîner des problèmes avec les factures, par exemple », explique Anu Talus, contrôleur de la protection des données.

Un certain nombre de reproches ont ainsi été formulés :
* Les données à caractère personnel ne peuvent être traitées sur le fondement de la base légale du contrat que si elles sont nécessaires à la réalisation de l’objectif principal du contrat. Or, l’autorité a estimé que la souscription à un service particulier ne peut pas exiger que les données à caractère personnel soient également utilisées à d’autres fins, c’est-à-dire pour les autres services.
* La Poste n’a pas informé ses clients de manière suffisamment claire sur l’activation de la boîte électronique. Pire, ils ont été induits en erreur : la Poste mentionnait qu’après l’introduction du service MyPost, ils pourraient encore recevoir des lettres par courrier papier uniquement s’ils le souhaitaient. En réalité, cette option n’était pas disponible.
* Le service MyPost comportait également des paramètres techniques qui ne répondaient pas aux exigences en matière de protection des données. Il s’agissait notamment d’une case à cocher activée automatiquement et d’une case pré-cochée.

Conséquence pour la Poste : une amende de 2,4 millions d’euros et une injonction de se mettre en conformité avec le RGPD. En réponse, la Poste a annoncé qu’elle allait corriger ces paramètres de manière à ce que la réception du courrier uniquement par voie électronique ne soit plus présélectionnée. Selon la Poste, les clients pourront désormais choisir s’ils souhaitent recevoir des copies électroniques de leurs lettres papier dans leur boîte MyPost.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.