Dernières actualités : données personnelles

SDTB (autorité allemande de Saxe)

En Allemagne, les contrôles de la SDTB permet d’améliorer la protection des données sur plus de 1 500 sites web saxons

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB) mené en juin, plus de 1.500 exploitants de sites web ont amélioré la protection des données de leurs pages. Lors d’un contrôle en mai de cette année, la SDTB a constaté l’utilisation illégale de Google Analytics sur 2 300 des 30 000 sites Internet saxons. Dans tous ces cas, le service d’analyse web a permis de collecter des données sans que les visiteurs n’aient donné leur consentement préalable : à l’installation de cookies d’analyse et/ou à l’établissement de connexions serveur avec Google Analytics.

La commissaire à la protection des données de Saxe, Dr. Juliane Hundert a déclaré que :
« Pour de nombreux citoyens, il est important de ne pas être traqué sans qu’on le leur demande lorsqu’ils utilisent Internet. Les analyses automatisées des sites web effectuées par mon administration ont non seulement permis d’identifier un grand nombre de violations de la protection des données, mais aussi d’en éliminer la majeure partie. Sur deux tiers des sites web identifiés, il est désormais renoncé à l’utilisation de Google Analytics pour le suivi du comportement des utilisateurs, ou un consentement clair est demandé au préalable. Le contrôle a également permis aux responsables d’améliorer le niveau de protection des données pour d’autres services. Ainsi, le nombre de cookies sur les sites contrôlés a diminué de moitié. C’est une bonne nouvelle pour la protection des données sur Internet. D’autres audits automatisés de sites web sont déjà prévus ».

L’autorité a également annoncé que les responsables qui, malgré la demande de la SDTB, continuent de traiter illégalement les données des utilisateurs avec Google Analytics, doivent désormais s’attendre à des sanctions.  L’autorité alerte également les responsables de traitement sur le fait qu’un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient. Dans certains cas, des services étaient exécutés et des cookies étaient installés alors que les paramètres indiquaient « désactivé ».

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

Free victime d’une cyberattaque : pourquoi la fuite des IBAN menace la sécurité de vos comptes bancaires

L’opérateur Free a informé une grande partie de ses abonnés, via un nouvel email envoyé ce 28 octobre, que la fuite de données contenait d’autres informations cruciales. L’entreprise a indiqué qu’en plus des noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants abonnés, le hacker a aussi récupéré des données bancaires. Concrètement, ce sont les IBAN des clients de la box Free qui ont été mis en ligne par le pirate. 5,3 millions de personnes seraient concernées.

Disponible sur: numerama.com

ICO (autorité anglaise)

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Monde

Ledger, entreprise de cryptoactifs, sanctionnée par la CNIL pour insuffisance de protection des données

L’entreprise française de sécurisation de cryptoactifs Ledger a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données de ses clients, a annoncé, mercredi 23 octobre, le gendarme français de la protection des données personnelles à l’Agence France-Presse (AFP). D’après les médias The Big Whale et La Lettre, qui ont révélé l’information, le montant de l’amende infligée s’élève à 750 000 euros. La CNIL n’a pas confirmé ce montant, soulignant que cette sanction n’était « pas publique ».

Disponible (en anglais) sur: lemonde.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Corée: l’autorité sanctionne deux entreprises pour manquement à leurs obligations en matière de sécurité

La Commission de protection des informations personnelles (président Ko Hak-soo, ci-après dénommée « Commission de protection des informations personnelles ») a tenu sa 17e réunion plénière le 23 octobre (mercredi) et a voté l’imposition d’un total de 123,17 millions KRW d’amendes (soit environ 83 000 euros) et de 10,8 millions KRW (soit environ 7000 euros) de pénalités à deux entreprises* qui ont violé la loi sur la protection des informations personnelles.

* La première est Neo Pharm, un  exploitant d’un site web de centre commercial en ligne vendant des produits cosmétiques, etc. L’enquête a révélé que le pirate informatique a accédé à la page de l’administrateur Web du centre commercial exploité par Neopharm grâce aux informations du compte de l’administrateur du centre commercial obtenues à l’avance et a volé les informations personnelles des 293 723 membres du centre commercial. En particulier, le pirate informatique a accédé à la page de l’administrateur Web du centre commercial plus de 750 fois sur une période d’environ deux semaines, du 23 août au 5 août, a consulté et téléchargé des informations sur les membres et a envoyé environ 440 000 messages illégaux.

* La seconde est Ilhak Ltd., il s’agit d’un centre commercial qui a a fait l’objet d’une attaque d’insertion SQL par un pirate informatique pendant deux jours à partir du 23 décembre 17, et des informations personnelles ont été divulguées. Le pirate informatique qui a divulgué des informations personnelles a également affiché les informations personnelles de 10 000 personnes sur le tableau d’affichage du centre commercial.

Dans les deux cas,  la PIPC a constaté des lacunes dans la gestion de la sécurité. Par exemple, Neopharm avait négligé la gestion des droits d’accès en n’accordant pas de comptes à chaque gestionnaire d’informations personnelles et en partageant les comptes entre les départements, et qu’elle avait tardé à notifier les utilisateurs dont les informations personnelles avaient fait l’objet d’une fuite

En conséquence, la PIPC a condamné les deux entreprises :
* Neopharm: une amende de 105,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 75 000 euros au total)
* Ilhak: une amende de 15,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 15 000 euros au total)

L’autorité a déclaré que les entreprises qui fournissent des services et traitent des informations personnelles par l’intermédiaire de sites web doivent régulièrement gérer les comptes des gestionnaires d’informations personnelles et vérifier les failles de sécurité lorsqu’elles exploitent des pages d’administrateur web liées aux bases de données des membres, et qu’elles doivent prêter une attention constante aux attaques de vulnérabilité web bien connues, telles que les attaques par injection SQL, et prendre les mesures de sécurité appropriées.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Voici une idée, Pinterest : Demandez le consentement des utilisateurs avant de les suivre !

Aujourd’hui, NOYB a déposé une plainte contre la plateforme de médias sociaux Pinterest. La plupart des utilisateurs la connaissent probablement comme un tableau d’humeur visuel et l’utilisent pour trouver des idées et de l’inspiration. Les annonceurs, quant à eux, utilisent la plateforme pour promouvoir leurs produits auprès des consommateurs. Sans surprise, le modèle économique de Pinterest repose également sur la publicité personnalisée et le suivi des utilisateurs qui y est associé. Le problème : malgré un arrêt de la CJUE interdisant cette pratique, la plateforme utilise les données personnelles des utilisateurs sans leur demander leur consentement. Pinterest prétend faussement avoir un « intérêt légitime » et active le suivi par défaut. La plupart des autres sites web ont abandonné cet argument juridiquement erroné depuis des années.

Pinterest Header

Disponible sur: noyb.eu

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Sanctions administratives imposées à un parti politique et à deux de ses dirigeants pour utilisation illégale de fichiers de listes électorales et absence de mesures de protection des données

Ce jour, l’autorité grecque a publié une sanction à l’encontre d’un parti politique et de deux de ses dirigeants pour avoir utilisé illégalement utilisé les listes électorales.  Cette affaire commence lorsqu’une plainte a été déposée contre une eurodéputée de la Nouvelle Démocratie. Il lui est en effet reproché d’avoir utilisé les données personnelles d’électeurs grecs vivant à l’étranger à des fins de communication politique en dehors de la période électorale. Les données en question, comprenant les noms, adresses e-mail et pays de résidence, ont été collectées par un ancien secrétaire de la Nouvelle Démocratie à l’aide de l’application WhatsApp et provenaient des registres du Ministère de l’Intérieur, initialement destinées à l’exercice du droit de vote.

L’enquête menée par l’Autorité de protection des données permis de confirmer les faits, et a également permis de qualifier plusieurs manquements grave par l’eurodéputée et son parti politique  :
* La collecte des données via WhatsApp est illégale, car effectuée sans l’accord des électeurs et en dehors des procédures électorales légales.
* L’eurodéputée a créé un fichier contenant ces données personnelles et l’a importé dans MailChimp pour envoyer des communications politiques, sans consentement des électeurs.
* L’argument de l’intérêt légitime (article 6(1)(f) du RGPD) invoqué par l’eurodéputée a été rejeté, car les droits des électeurs à la protection de leurs données personnelles l’emportent sur l’intérêt de l’eurodéputée à leur envoyer des informations politiques.
* Les électeurs concernés n’ont pas été suffisamment informés de l’usage de leurs données, en violation de l’article 14 du RGPD, qui exige la transparence.

L’Autorité a conclu que l’utilisation des données personnelles des électeurs grecs de l’étranger par l’eurodéputée constituait une violation des articles 5(1)(a) et 14 du RGPD concernant la légalité, la transparence et l’objectivité du traitement des données. Le Ministère de l’Intérieur a également été mis en cause pour ne pas avoir sécurisé adéquatement les données, permettant leur diffusion et traitement non autorisés. L’Autorité a donc ordonné la cessation de l’utilisation de ces données à des fins politiques et a recommandé des mesures de sécurité supplémentaires pour le Ministère de l’Intérieur.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be

Retour en haut