Dernières actualités : données personnelles

L’Usine digitale

Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate

Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit alors fournir “tous les éléments permettant d’identifier la personne”, soit son identité civile, les adresses IP recueillies et le numéro de téléphone utilisé pour la création du compte. D’après Free et Free Mobile, un cybercriminel dénommé “[Z] [L]” a adressé trois messages le 21 octobre sur la plateforme interne dédiée à la protection des données personnelles, ainsi qu’un quatrième au “président du groupe Iliad” (Xavier Niel) via Telegram. Le pirate informatique affirmait alors avoir les données en sa possession, menaçait de “les utiliser frauduleusement” et exigeait une rançon de 10 millions d’euros en cryptomonnaies.

Disponible sur: usine-digitale.fr

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

SDTB (autorité allemande de Saxe)

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Créer un environnement sûr pour l’utilisation des caméras IP afin de réduire l’anxiété du public telle que l’atteinte à la vie privée 

Le ministère des sciences et des TIC (le ministre Yoo Sang-im, ci-après dénommé « MSIT »), la Commission de protection des informations personnelles (le président Ko Hak-soo, ci-après dénommé « Commission de protection des informations personnelles »), la Commission coréenne des communications (le président par intérim Kim Tae-kyu, ci-après dénommé « KCTC ») et l’Agence nationale de police (le commissaire Choi Ji-ho) ont aujourd’hui annoncé qu’ils allaient mettre en place et promouvoir le « Plan d’amélioration de la sécurité des caméras IP » afin de répondre à l’inquiétude du public causée par le piratage des caméras IP et les fuites de vidéos.

Ce plan tourne autour de plusieurs axes:
– Préparer des politiques dans le domaine de la protection de la vie privée numérique par le biais de l' »équipe de promotion du soutien civil au service numérique »
– Équiper les produits d’une fonction de réglage du mot de passe à haut niveau de sécurité lors de la fabrication des produits
– Obligation d’utiliser des caméras IP certifiées pour la sécurité dans les installations à usage multiple étroitement liées à la vie publique
– Renforcement des enquêtes de sécurité sur les caméras IP et répression des dispositifs illégaux

Le ministre du MSIT, Yoo Sang-im, a déclaré : « Les caméras IP sont largement utilisées dans notre vie quotidienne à l’ère de l’intensification numérique, il est donc important de créer un environnement dans lequel elles peuvent être utilisées en toute sécurité » « Nous travaillerons avec les ministères concernés et l’industrie pour promouvoir sans heurts les questions politiques visant à renforcer la sécurité des caméras IP », a-t-il ajouté.

« Avec le développement de la technologie, divers produits informatiques ayant des fonctions de collecte d’informations personnelles, tels que les caméras IP et les tablettes murales, sont largement utilisés dans la vie quotidienne, et les préoccupations concernant la violation des informations personnelles augmentent », a déclaré Ko Hak-soo, président de la Commission des informations personnelles. » Grâce à ces mesures, nous améliorerons activement la sécurité des caméras IP afin que les consommateurs puissent les utiliser en toute confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Publicités : Meta fière d’être « moins illégale » mais bientôt plus ennuyeuse

Dans la bataille sur l’utilisation illégale des données personnelles à des fins publicitaires, Meta a annoncé une nouvelle variante qui n’est pas un consentement par « oui ou non » : Cette fois-ci, Meta va essayer des publicités « moins personnalisées », ce qui pourrait également ennuyer les utilisateurs pour qu’ils donnent leur consentement. Cependant, depuis 2018, le GDPR exige le consentement pour la publicité. Jusqu’en 2023, Meta a tout simplement ignoré cette exigence. L’année dernière, Meta a commencé à faire payer l’option « non » – à l’origine, plus de 240 euros par an. Aujourd’hui, Meta a annoncé la prochaine étape de ce jeu avec les régulateurs de l’UE : Au lieu d’une simple bannière « oui/non », les utilisateurs auront la possibilité d’obtenir des « publicités moins personnalisées » dans lesquelles des données telles que la localisation et la date de naissance seront toujours utilisées – sans consentement. De plus, les « publicités moins personnalisées » seront affichées en « plein écran » et ne pourront pas être ignorées. Cette approche est connue de nombreuses applications de jeux « freemium », où les publicités deviennent si ennuyeuses que les utilisateurs sont « ennuyés » pour donner leur consentement ou payer. NOYB a déjà porté plainte contre l’approche « pay-or-okay » de Meta.

Pay or okay, with hundred Euros bill in the background

Disponible sur: noyb.eu

Datatilsynet (autorité danoise)

La police danoise interrogée sur ses systèmes de reconnaissance faciale par Datatilsynet

Ce jour, l’autorité danoise de protection des données (Datatilsynet) a annoncé avoir, courant septembre, posé des questions sur les considérations de la police nationale danoise concernant la protection des données dans le cadre de l’utilisation prévue par la police de la reconnaissance faciale. Ces questions ont été soulevées à la suite de la décision du gouvernement et d’un certain nombre de partis politiques de donner à la police des possibilités accrues d’utiliser la reconnaissance faciale dans le cadre d’enquêtes. Par exemple, parmi les questions posées figuraient la préparation d’une analyse d’impact et la consultation préalable de l’autorité.

Dans sa réponse à Datatilsynet, la police nationale danoise indique qu’aucune évaluation d’impact n’a encore été préparée pour le projet pilote impliquant la reconnaissance faciale, étant donné que l’acquisition du système concerné n’en est qu’à ses débuts. Toutefois, la police nationale danoise souligne que l’analyse d’impact sera lancée dès que les bases nécessaires seront présentes dans le projet et que l’autorité sera informée du résultat.

Dans ses échanges avec la police, l’autorité a rappelé que tout traitement de données à caractère personnel couvert par la loi danoise sur l’application de la loi – y compris le traitement pour les tests et les projets pilotes – doit être conforme aux règles du RGPD. Cela signifie, entre autres, que si le traitement de données à caractère personnel nécessite une analyse d’impact, cette analyse doit être effectuée avant le début du traitement.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Retour en haut