Dernières actualités : données personnelles

Commission européenne

Déclaration du commissaire Breton sur les mesures annoncées par LinkedIn pour se conformer aux dispositions du DSA sur la publicité ciblée

La Commission prend note de l’annonce faite par LinkedIn de la désactivation totale de la fonctionnalité permettant aux annonceurs de cibler les utilisateurs de LinkedIn avec des publicités sur la base de leur appartenance à des groupes LinkedIn dans le marché unique de l’UE.

Cette décision fait suite à la demande d’information de la Commission visant à vérifier la conformité de cette fonctionnalité avec la loi sur les services numériques, à la suite d’une plainte déposée par des organisations de la société civile. Selon la plainte, grâce à cette fonctionnalité, LinkedIn pourrait avoir donné aux annonceurs la possibilité de cibler les utilisateurs de LinkedIn sur la base de catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement général sur la protection des données, telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, telles qu’elles ressortent de la participation des utilisateurs à des groupes LinkedIn. Si elle était confirmée, cette possibilité aurait pu constituer une violation de l’interdiction de présenter des publicités ciblées fondées sur des catégories particulières de données à caractère personnel prévue par le règlement général sur la protection des données.

Thierry Breton, commissaire européen chargé du marché intérieur, a déclaré :
« À la suite d’une plainte de la société civile, nous avons demandé en mars à LinkedIn d’expliquer comment il respecte l’interdiction de présenter des publicités ciblées fondées sur des données personnelles sensibles, telles que l’orientation sexuelle, les opinions politiques ou la race, imposée par la DSA. En conséquence, LinkedIn interrompt volontairement la fonctionnalité en question. La Commission surveillera la mise en œuvre effective de l’engagement public de LinkedIn afin de garantir le respect total de l’ASD. Nous resterons vigilants, mais il est positif de voir que l’ASD apporte des changements qu’aucune autre loi n’a atteints jusqu’à présent, en Europe et au-delà. »

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

GPDP (autorité italienne)

Deux fournisseurs d’énergie individuellement condamnés à une amende 100 000 euros pour du « télémarketing sauvage »

Ce 11 avril 2024, l’autorité italienne a imposé une amende de 100 mille euros à un opérateur opérant dans le secteur des contrats de fourniture d’électricité et de gaz pour traitement illicite de données à caractère personnel.
Dans sa newsletter du 21 mai, la Garante explique avoir pris des mesures à la suite de 2 plaintes et de 56 rapports d’utilisateurs se plaignant de recevoir des appels téléphoniques non désirés et de l’activation de contrats d’énergie non sollicités. Les vérifications effectuées par l’Autorité ont révélé que les appels avaient été effectués sans le consentement des personnes concernées et qu’ils s’adressaient principalement à des utilisateurs inscrits au registre public d’opposition (Rpo). Les listes de contacts ont été acquises par le centre d’appel par l’intermédiaire de sociétés tierces et de son propre réseau d’agents ou de mandataires. En outre, à partir d’un contrôle par échantillonnage, l’Autorité a constaté qu’en l’espace d’une semaine, le centre d’appel avait contacté illégalement 106 utilisateurs qui avaient ensuite conclu un contrat de fourniture d’énergie.

Selon ses termes, « Compte tenu de la gravité des violations constatées », l’autorité a donc infligé au centre d’appel du fournisseur Facile.Energy une amende de 100 000 euros, en lui ordonnant de mettre en œuvre des mesures techniques, organisationnelles et de contrôle appropriées afin de garantir que le traitement des données personnelles des utilisateurs est effectué conformément aux règles de confidentialité tout au long de la chaîne.

L’autorité a rendu une seconde sanction de 100 000 euros, cette fois au gestionnaire d’énergie Olimpia, pour des faits similaires. L’enquête a fait suite à 2 plaintes et 18 rapports d’utilisateurs entre janvier 2022 et novembre 2022, concernant pour la plupart des questions de télémarketing. L’autorité a une fois de plus constaté que des appels téléphoniques avaient été effectués sans le consentement des personnes concernées et en utilisant les numéros des utilisateurs inscrits au registre public des oppositions et a en conséquence déclaré illégal le traitement de données à caractère personnel à des fins de télémarketing.

Disponible (en italien) sur: gpdp.it (Olimpia) et sur gpdp.it (Facile.Energy)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

ICO (autorité anglaise)

L’ICO inflige des amendes d’un montant total de 340 000 livres sterling à deux entreprises pour avoir effectué des appels commerciaux agressifs et non désirés

L’Information Commissioner’s Office (ICO) a condamné Outsource Strategies Ltd (OSL), basée à Cardiff, à une amende de 240 000 livres sterling et Dr Telemarketing Ltd (DRT), basée à Londres, à une amende de 100 000 livres sterling, après que les sociétés aient passé au total près de 1,43 million d’appels à des personnes inscrites sur le registre britannique des « personnes à ne pas appeler », le Telephone Preference Service (TPS). Les appels, tous effectués entre le 11 février 2021 et le 22 mars 2022, ont donné lieu à 76 plaintes auprès de l’ICO et du TPS. Les personnes qui se sont plaintes ont déclaré que les appelants étaient agressifs et utilisaient des tactiques de vente à haute pression pour les persuader de souscrire à des produits. L’enquête de l’ICO a également révélé que les deux sociétés ciblaient spécifiquement les personnes âgées et vulnérables.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

« Consentir ou Payer » : le Comité européen de la protection des données adopte un avis

Le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du consentement au traitement des données personnelles à des fins de publicité comportementale dans le contexte des modèles « Consentir ou Payer » déployés par des grandes plateformes en ligne.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

EDPB : les plateformes ne devraient pas obliger les utilisateurs à être suivis

Dans un communiqué de presse, l’AP exprime son opinion concernant l’avis du CEPD/EDPB en matière en matière de « Pay or Okay » après en avoir expliqué les grandes lignes.
Aleid Wolfsen, président de l’AP, estime que  « la vie privée n’est pas réservée aux riches. Vous devez avoir la possibilité de faire un choix libre et équitable. Si une plateforme menace de mettre votre compte en ligne sur liste noire si vous n’acceptez pas d’être suivi en ligne, ce n’est pas un choix libre. Les entreprises technologiques ne doivent pas vous forcer à accepter que votre comportement soit suivi en ligne. Pour vendre vos données à des sociétés de publicité, par exemple. Lorsque les entreprises technologiques facturent un prix déraisonnablement élevé pour une option respectueuse de la vie privée, elles ne laissent pas le choix aux petits portefeuilles. Ils ont souvent besoin d’une telle plateforme. Par exemple, pour le travail ou pour rester en contact avec la famille. Il n’est donc pas possible de dire adieu à la plateforme, mais il n’est pas non plus possible de payer le prix de l’abonnement. Ce n’est pas un choix, c’est de la coercition ».
Toujours selon l’article, M. Wolfsen se réjouit de la position adoptée par les régulateurs : « les grandes entreprises technologiques doivent respecter la loi.  Cette position est claire comme de l’eau de roche et aide les autorités de contrôle responsables à intervenir sévèrement si elles constatent une violation »

Disponible (en anglais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Les modèles « Consent or Pay » devraient offrir un véritable choix

Bruxelles, le 17 avril – Lors de sa dernière session plénière, l’EDPB a adopté un avis à la suite d’une demande au titre de l’art. 64(2) du RGPD par les autorités de protection des données (DPA) néerlandaises, norvégiennes et hambourgeoises. L’avis porte sur la validité du consentement au traitement des données à caractère personnel à des fins de publicité comportementale dans le contexte des modèles « consentement ou paiement » déployés par les grandes plateformes en ligne.

En ce qui concerne les modèles de « consentement ou paiement » mis en œuvre par les grandes plateformes en ligne (le terme n’ayant pas la même définition que pour le DMA/DSA), l’EDPB considère que, dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. L’EDPB considère que les grandes plateformes en ligne devraient envisager de fournir aux individus une « alternative équivalente » qui n’implique pas le paiement d’une redevance. Si les responsables du traitement choisissent de faire payer l’accès à l' »alternative équivalente », ils doivent envisager sérieusement d’offrir une alternative supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de moins ou pas de données à caractère personnel. Il s’agit d’un facteur particulièrement important dans l’évaluation d’un consentement valable au titre du RGPD.

[Ajout contextuel Portail RGPD: Le CEPD semble ne pas totalement fermer la porte à la pratique du « Pay or Okay », mais il semble chercher à la restreindre autant que possible, quitte à la rendre quasiment impraticable. Il précise néanmoins que, le cas échéant, les autorités devront procéder à des analyses au cas par cas, en ce compris l’évaluation du caractère approprié et proportionnel du montant fixé par le responsable de traitement. D’après certaines analyses, cela pourrait être un moyen pour le CEPD d’éviter l’annulation de son avis par le CJUE au motif qu’il ne serait pas compétent pour interdire la pratique de manière générale (tout comme le Conseil d’Etat avait annulé les lignes directrices de la CNIL en matière de cookies sur ce fondement il y a quelques années).]

Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut