Dernières actualités : données personnelles

GPDP (autorité italienne)

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante

Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière illicite des données personnelles à des fins promotionnelles. L’entreprise doit également adopter des mesures techniques et organisationnelles appropriées en ce qui concerne la sélection et la supervision des agences externes qui effectuent des activités de télémarketing. Elle devra ensuite mettre en œuvre les mesures nécessaires pour éviter le risque d’activation de contrats de fourniture provenant d’un contact promotionnel illégal.

La mesure de la Garante intervient à l’issue d’une enquête préliminaire ouverte à la suite de plaintes d’utilisateurs qui se plaignaient de recevoir des appels téléphoniques non désirés effectués par divers centres d’appels pour promouvoir les services d’Illumia. De nombreux points critiques ont été relevés, notamment :
* L’émission d’appels promotionnels en l’absence d’une base juridique appropriée (article 6 du RGPD)  : les appels promotionnels ont été réalisés sans consentement clair des personnes concernées.
* L’absence de contrôles tout au long de la chaîne d’approvisionnement (articles 24 et 28 du RGPD) :Illumia n’a pas assuré une vérification suffisante des agences partenaires et a permis des pratiques non conformes, malgré la mise en place tardive de procédures en 2024.
* La mise en œuvre de certaines mesures technico-organisationnelles avec un retard considérable par rapport à l’entrée en vigueur du règlement de l’UE (articles 5, 25 et 32 du RGPD): l’entreprise n’a pas mis en place des contrôles rigoureux pour empêcher l’accès ou le traitement non autorisé des données personnelles, ni pour garantir la traçabilité des contrats issus des appels téléphoniques.

Pour déterminer le montant de la sanction, l’Autorité a tenu compte de la gravité et de la durée des violations constatées, du chiffre d’affaires de l’entreprise et du grand nombre d’agences et de sous-agences impliquées dans tout le pays.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Réponse de l’ICO au changement de politique de Google concernant le fingerprinting

Stephen Almond, directeur exécutif des risques réglementaires de l’ICO : « Hier, Google a annoncé aux organisations qui utilisent ses produits publicitaires qu’à partir du 16 février 2025, il ne leur interdirait plus d’utiliser des techniques d’empreintes digitales. Notre réponse est claire : les entreprises ne sont pas libres d’utiliser les empreintes digitales comme bon leur semble. Comme toute technologie publicitaire, elle doit être déployée de manière légale et transparente – et si ce n’est pas le cas, l’ICO interviendra. »

L’ICO estime que l’empreinte digitale n’est pas un moyen équitable de suivre les utilisateurs en ligne, car elle est susceptible de réduire le choix et le contrôle des personnes sur la manière dont leurs informations sont collectées. La modification de la politique de Google signifie que l’empreinte digitale pourrait désormais remplacer les fonctions des cookies tiers.

L’autorité estime que ce changement est irresponsable. Google a déjà déclaré que les empreintes digitales ne répondaient pas aux attentes des utilisateurs en matière de protection de la vie privée, car les utilisateurs ne peuvent pas facilement y consentir comme ils le feraient avec des cookies. Cela signifie qu’ils ne peuvent pas contrôler la manière dont leurs informations sont collectées. Pour citer la position de Google sur l’empreinte digitale en 2019 : « Nous pensons que cela subvertit le choix de l’utilisateur et que c’est une erreur ».

L’ICO continue à dialoguer avec Google sur ce revirement de position et sur l’écart qu’il représente par rapport à ce que nous attendons d’un internet respectueux de la vie privée. Lorsque la nouvelle politique entrera en vigueur le 16 février 2025, les organisations utilisant la technologie publicitaire de Google pourront déployer le fingerprinting sans enfreindre les propres règles de Google. Compte tenu de la position et de l’envergure de Google dans l’écosystème de la publicité en ligne, il s’agit d’une avancée significative.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Le microciblage politique de la Commission européenne est illégal

NOYB gagne la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles « sensibles » sur leurs opinions politiques. La Commission européenne a tenté d’influencer les opinions politiques aux Pays-Bas. Dans le cadre de la lutte contentieuse autour du très critiqué règlement sur le contrôle des chats (une proposition de loi européenne qui pourrait compromettre toutes les communications en ligne chiffrées en permettant aux autorités de lire les chats en ligne), la Commission européenne a identifié les Pays-Bas comme un État membre qu’elle souhaitait influencer politiquement. Pour tenter de « renverser » les opinions aux Pays-Bas, la Commission s’est rendue sur X/Twitter et a publié des messages faisant indirectement la promotion de ce règlement. […] Dans ce cadre, la Commission européenne a clairement déclenché le traitement des données personnelles des citoyens de l’UE pour les cibler avec des publicités.

Le CEPD a ainsi adressé un blâme à la Commission, précisant qu’elle était un responsable du traitement et qu’elle était pleinement responsable du ciblage illégal sur la plateforme.
Plus d’informations ci-dessous !

EU Commission micro-targeting

Disponible sur: noyb.eu

ICO (autorité anglaise)

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants

L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir  délivré des avis d’exécution après avoir constaté qu’elles avaient passé de nombreux appels téléphoniques non sollicités à des personnes – qui avaient choisi de ne pas recevoir d’appels commerciaux – pour tenter de leur vendre une assurance-vie et des solutions de gestion de la dette:

1- Breathe Services Ltd (BSL), une société de conseil en matière d’endettement basée à Bolton, a d’abord attiré l’attention de l’autorité dans le cadre d’une enquête plus large sur des plaintes reçues concernant des appels téléphoniques non sollicités adressés à des personnes potentiellement vulnérables. Dans une tentative infructueuse de dissimuler sa véritable identité, BSL s’est avérée avoir usurpé son numéro de téléphone sortant en présentant plus de 1 000 numéros de téléphone différents lors des appels. L’enquête a révélé qu’entre mars et juillet 2022 et entre octobre et décembre 2022, BSL a bombardé les gens avec 4 376 037 appels de marketing direct non sollicités à des numéros qui avaient été enregistrés auprès du Telephone Preference Service (TPS). Cela a donné lieu à 58 plaintes auprès du TPS et à 193 autres plaintes auprès de l’ICO. Au cours de l’enquête, l’ICO a également découvert BSL avait délibérément tenté de dissimuler ses actions et avait cessé de coopérer avec l’ICO.
Conséquence pour l’entreprise ? Une amende de 170 000 livres sterling [soit quelques centimes par appel].

2- Money Bubble Ltd (MBL), une société de conseil financier basée à Oldham, a entre octobre et novembre 2022, la société a effectué 168 852 appels de spam, ce qui a donné lieu à plusieurs autres plaintes auprès de l’ICO et du TPS. MBL n’a pas prouvé que les personnes dont le numéro a été appelé avaient consenti à recevoir des appels de la société. Une amende de 120 000 livres sterling lui a été infligée.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web

En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par cas les bandeaux de recueil du consentement au regard de la loi Informatique et Libertés (article 82) ainsi qu’à la lumière de ses lignes directrices, de la recommandation sur les traceurs et du rapport final dédié aux bannières cookies adopté par le Comité européen de la protection des données (CEPD) le 17 janvier 2023.

C’est sur la base de ces éléments qu’à l’issue de l’instruction de plaintes, la CNIL a mis en demeure plusieurs éditeurs de site web de modifier leur bannière car :
* la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter ;
* ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations.

Disponible sur: CNIL.fr

CNIL

Publicités insérées entre les courriels : sanction de 50 millions d’euros à l’encontre de la société ORANGE

Le 14 novembre 2024, la CNIL a sanctionné la société ORANGE d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement. ORANGE met à disposition de ses clients un service de messagerie électronique (« Mail Orange »). À la suite de plusieurs contrôles, la CNIL a constaté que la société affichait, entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE). Par ailleurs, les contrôles réalisés par la CNIL ont également permis de constater que, lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.

Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :
– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard.
Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées (plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception) ainsi que de la position de la société sur le marché, qui est le premier opérateur de télécommunications en France. La formation restreinte a également tenu compte de l’avantage financier tiré du manquement relatif aux publicités insérées entre les courriels.

Disponible sur: CNIL.fr

APD (autorité belge)

Droit d’opposition au marketing téléphone :  l’autorité belge inflige une amende de 20 000 euros à une entreprise

Ce 29 novembre, l’autorité belge a publié une décision de transaction dans le cadre d’une plainte relative à des appels téléphoniques visant des fins de marketing direct malgré l’exercice du droit d’opposition. Le 9 décembre 2019, une plainte a été déposée contre une entreprise (désignée ici comme Y) pour non-respect du droit d’opposition de la plaignante. : en effet, après avoir demandé en avril 2019 à cesser les appels de marketing direct, la plaignante a continué à recevoir des démarchages téléphoniques jusqu’en mars 2020. Y a confirmé avoir pris en compte sa demande mais a continué à traiter ses données personnelles. En outre, au cours de la procédure, Y a demandé à la plaignante de fournir les numéros des appels entrants, ce qui était impossible puisque ceux-ci étaient masqués.

L’enquête de l’autorité, ouverte en suite à la plainte, a permis de relever plusieurs infractions :
* Violation du droit d’opposition : La plaignante a exercé son droit d’opposition, mais ses données ont continué à être utilisées à des fins de marketing direct.
* Absence de facilitation de l’exercice des droits : Y a demandé des informations inutilisables (numéros masqués) au lieu de chercher dans ses bases de données pour respecter la demande d’opposition.
* Manquement à la protection des données dès la conception : La gestion de la base CRM de Y était inadéquate, entrainant un traitement incohérent et non conforme des données personnelles.

En conséquence, l’autorité belge a infligé une amende de 20 000€ à l’entreprise et a exigé que Y mette en conformité ses systèmes et garantisse la gestion correcte des demandes d’opposition à l’avenir.  L’entreprise Y a, dans le cadre d’une procédure de transaction, reconnu les faits reprochés et accepté de payé l’amende. Elle s’est également engagée à corriger les lacunes constatées, notamment en révisant la gestion de ses bases de données et en respectant scrupuleusement les demandes d’opposition des personnes concernées.

Disponible sur: autoriteprotectiondonnees.be

APD (autorité belge)

Carte d’identité comme carte de fidélité : l’APD ordonne à Freedelity de se conformer au RGPD

L’autorité belge (APD) a annoncé aujourd’hui avoir décidé d’imposer une série de mesures correctrices à Freedelity.  Cette entreprise collecte, soit directement, soit via des enseignes partenaires, des informations concernant des consommateurs fournies entre autres à travers la lecture électronique de leur carte d’identité (eID), celle-ci étant utilisée comme carte de fidélité. Ces données sont principalement collectées par le biais de bornes mises à disposition des enseignes par Freedelity. Ces enseignes sont des commerçants qui font usage des services Freedelity pour conserver et exploiter les données de leur clientèle à des fins de marketing et de gestion de relation client. Par ailleurs, Freedelity procède à la mutualisation des données, permettant ainsi de mettre à jour et partager automatiquement les informations des consommateurs communs entre plusieurs enseignes partenaires auprès desquelles ceux-ci sont déjà clients.

Sur la base de l’enquête du Service d’Inspection et des pièces fournies par l’entreprise, la Chambre Contentieuse a constaté, notamment :
* des manquements liés au consentement des consommateurs
* un manquement au principe de minimisation des données et de protection des données par défaut
* une violation du principe de limitation de la conservation des données personnelles

Conséquence pour la société ? Pas d’amende pour cette fois, mais une injonction (sous astreinte) de se mette en conformité avec la réglementation.

Disponible sur: autoriteprotectiondonnees.be

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

En Allemagne, les contrôles de la SDTB permet d’améliorer la protection des données sur plus de 1 500 sites web saxons

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB) mené en juin, plus de 1.500 exploitants de sites web ont amélioré la protection des données de leurs pages. Lors d’un contrôle en mai de cette année, la SDTB a constaté l’utilisation illégale de Google Analytics sur 2 300 des 30 000 sites Internet saxons. Dans tous ces cas, le service d’analyse web a permis de collecter des données sans que les visiteurs n’aient donné leur consentement préalable : à l’installation de cookies d’analyse et/ou à l’établissement de connexions serveur avec Google Analytics.

La commissaire à la protection des données de Saxe, Dr. Juliane Hundert a déclaré que :
« Pour de nombreux citoyens, il est important de ne pas être traqué sans qu’on le leur demande lorsqu’ils utilisent Internet. Les analyses automatisées des sites web effectuées par mon administration ont non seulement permis d’identifier un grand nombre de violations de la protection des données, mais aussi d’en éliminer la majeure partie. Sur deux tiers des sites web identifiés, il est désormais renoncé à l’utilisation de Google Analytics pour le suivi du comportement des utilisateurs, ou un consentement clair est demandé au préalable. Le contrôle a également permis aux responsables d’améliorer le niveau de protection des données pour d’autres services. Ainsi, le nombre de cookies sur les sites contrôlés a diminué de moitié. C’est une bonne nouvelle pour la protection des données sur Internet. D’autres audits automatisés de sites web sont déjà prévus ».

L’autorité a également annoncé que les responsables qui, malgré la demande de la SDTB, continuent de traiter illégalement les données des utilisateurs avec Google Analytics, doivent désormais s’attendre à des sanctions.  L’autorité alerte également les responsables de traitement sur le fait qu’un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient. Dans certains cas, des services étaient exécutés et des cookies étaient installés alors que les paramètres indiquaient « désactivé ».

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut