Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut