Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

CNIL

Les caméras « augmentées » dans les habitacles des véhicules de transport de marchandises

Certains employeurs des sociétés de transport souhaitent installer des caméras augmentées embarquées dans les véhicules professionnels utilisés par leurs salariés/agents. Ces caméras servent, par exemple, à détecter en temps réel la fatigue (signes précurseurs de fatigue du conducteur, ainsi que son endormissement pendant la conduite) ou une distraction (détection du regard du conducteur en dehors de l’axe de la route ou d’une action pouvant altérer la conduite telle que l’utilisation du téléphone portable, l’action de fumer, etc.). Ces dispositifs peuvent permettre de remonter les données techniques des alertes ou des séquences vidéo vers une plateforme accessible à la société prestataire, voire à l’employeur.

Dans un article disponible ci-dessous, la CNIL rappelle que les employeurs doivent s’assurer que ces dispositifs respectent les données personnelles et la vie privée des conducteurs. Au programme : la base légale applicable, les données pouvant être traitées, ou encore les garanties à mettre en place.

Disponible sur: CNIL.fr

DPA (autorité grecque)

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

En Allemagne, les contrôles de la SDTB permet d’améliorer la protection des données sur plus de 1 500 sites web saxons

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB) mené en juin, plus de 1.500 exploitants de sites web ont amélioré la protection des données de leurs pages. Lors d’un contrôle en mai de cette année, la SDTB a constaté l’utilisation illégale de Google Analytics sur 2 300 des 30 000 sites Internet saxons. Dans tous ces cas, le service d’analyse web a permis de collecter des données sans que les visiteurs n’aient donné leur consentement préalable : à l’installation de cookies d’analyse et/ou à l’établissement de connexions serveur avec Google Analytics.

La commissaire à la protection des données de Saxe, Dr. Juliane Hundert a déclaré que :
« Pour de nombreux citoyens, il est important de ne pas être traqué sans qu’on le leur demande lorsqu’ils utilisent Internet. Les analyses automatisées des sites web effectuées par mon administration ont non seulement permis d’identifier un grand nombre de violations de la protection des données, mais aussi d’en éliminer la majeure partie. Sur deux tiers des sites web identifiés, il est désormais renoncé à l’utilisation de Google Analytics pour le suivi du comportement des utilisateurs, ou un consentement clair est demandé au préalable. Le contrôle a également permis aux responsables d’améliorer le niveau de protection des données pour d’autres services. Ainsi, le nombre de cookies sur les sites contrôlés a diminué de moitié. C’est une bonne nouvelle pour la protection des données sur Internet. D’autres audits automatisés de sites web sont déjà prévus ».

L’autorité a également annoncé que les responsables qui, malgré la demande de la SDTB, continuent de traiter illégalement les données des utilisateurs avec Google Analytics, doivent désormais s’attendre à des sanctions.  L’autorité alerte également les responsables de traitement sur le fait qu’un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient. Dans certains cas, des services étaient exécutés et des cookies étaient installés alors que les paramètres indiquaient « désactivé ».

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : L’auto-école en ligne Ornikar victime d’une fuite de données personnelles

Ornikar, start-up française spécialisée dans la révision du code en ligne et dans la réservation de cours de conduite pour passer le permis, a averti le 24 octobre ses clients d’une « intrusion externe dans [son] système d’information ». Une cyberattaque qui a laissé fuité de nombreuses données personnelles, dont les noms, prénoms et dates de naissance de ses clients, mais aussi leurs adresses e-mail, leurs numéros de téléphone et leurs adresses postales. La plateforme précise que les « données bancaires et mots de passe n’ont pas été compromis lors de cet incident ».

Disponible sur: usine-digitale.fr

NOYB – None of your business

Voici une idée, Pinterest : Demandez le consentement des utilisateurs avant de les suivre !

Aujourd’hui, NOYB a déposé une plainte contre la plateforme de médias sociaux Pinterest. La plupart des utilisateurs la connaissent probablement comme un tableau d’humeur visuel et l’utilisent pour trouver des idées et de l’inspiration. Les annonceurs, quant à eux, utilisent la plateforme pour promouvoir leurs produits auprès des consommateurs. Sans surprise, le modèle économique de Pinterest repose également sur la publicité personnalisée et le suivi des utilisateurs qui y est associé. Le problème : malgré un arrêt de la CJUE interdisant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement. Pinterest prétend faussement avoir un « intérêt légitime » et active le suivi par défaut. La plupart des autres sites web ont abandonné cet argument juridiquement erroné depuis des années.

Pinterest Header

Disponible sur: noyb.eu

DPA (autorité grecque)

Sanctions administratives imposées à un parti politique et à deux de ses dirigeants pour utilisation illégale de fichiers de listes électorales et absence de mesures de protection des données

Ce jour, l’autorité grecque a publié une sanction à l’encontre d’un parti politique et de deux de ses dirigeants pour avoir utilisé illégalement utilisé les listes électorales.  Cette affaire commence lorsqu’une plainte a été déposée contre une eurodéputée de la Nouvelle Démocratie. Il lui est en effet reproché d’avoir utilisé les données personnelles d’électeurs grecs vivant à l’étranger à des fins de communication politique en dehors de la période électorale. Les données en question, comprenant les noms, adresses e-mail et pays de résidence, ont été collectées par un ancien secrétaire de la Nouvelle Démocratie à l’aide de l’application WhatsApp et provenaient des registres du Ministère de l’Intérieur, initialement destinées à l’exercice du droit de vote.

L’enquête menée par l’Autorité de protection des données permis de confirmer les faits, et a également permis de qualifier plusieurs manquements grave par l’eurodéputée et son parti politique  :
* La collecte des données via WhatsApp est illégale, car effectuée sans l’accord des électeurs et en dehors des procédures électorales légales.
* L’eurodéputée a créé un fichier contenant ces données personnelles et l’a importé dans MailChimp pour envoyer des communications politiques, sans consentement des électeurs.
* L’argument de l’intérêt légitime (article 6(1)(f) du RGPD) invoqué par l’eurodéputée a été rejeté, car les droits des électeurs à la protection de leurs données personnelles l’emportent sur l’intérêt de l’eurodéputée à leur envoyer des informations politiques.
* Les électeurs concernés n’ont pas été suffisamment informés de l’usage de leurs données, en violation de l’article 14 du RGPD, qui exige la transparence.

L’Autorité a conclu que l’utilisation des données personnelles des électeurs grecs de l’étranger par l’eurodéputée constituait une violation des articles 5(1)(a) et 14 du RGPD concernant la légalité, la transparence et l’objectivité du traitement des données. Le Ministère de l’Intérieur a également été mis en cause pour ne pas avoir sécurisé adéquatement les données, permettant leur diffusion et traitement non autorisés. L’Autorité a donc ordonné la cessation de l’utilisation de ces données à des fins politiques et a recommandé des mesures de sécurité supplémentaires pour le Ministère de l’Intérieur.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut