Dernières actualités : données personnelles

PIPC (autorité coréenne)

Worldcoin condamné à une amende d’environ 775.000 euros par l’autorité coréenne

Dans un communiqué de presse publié ce jour, l’autorité coréenne a annoncé avoir condamné la Worldcoin Foundation (WCF) et Tools for Humanity Corporation (TFH) pour avoir enfreint la loi sur la protection des données personnelles et leur a infligé des amendes d’un montant total de 1,14 milliard KRW (environ 775.000 euros), ainsi que des ordres correctifs et des recommandations en vue d’une amélioration de la situation.

L’autorité a ouvert une enquête en février de cette année à la suite d’une plainte et d’articles de presse selon lesquels Worldcoin collectait sans autorisation des informations biométriques en échange d’actifs virtuels (« Worldcoin »).
L’enquête a confirmé que la World Coin Foundation et TFH (un administrateur et un sous-traitant (comme le développement et l’exploitation de la World App*) chargé du traitement des informations personnelles par la World Coin Foundation) n’avaient pas respecté leurs obligations en vertu de la loi sur la protection des informations personnelles (la « loi sur la protection ») en (i) collectant des informations personnelles telles que l’iris des personnes concernées en Corée sans base de traitement licite et (ii) en les transférant à l’étranger.

L’autorité note que 93 463 personnes en Corée ont téléchargé l’application World App, et 29 991 ont utilisé l’authentification par l’iris.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Risques liés à l’IA : Reconnaissance optique de caractères et reconnaissance d’entités nommées

L’EDPC a lancé un projet viser à aider les responsables du traitement des données qui utilisent l’IA aux fins de reconnaissance optique de caractères et reconnaissance d’entités nommées à effectuer une évaluation des risques en matière de protection des données et les autorités chargées de la protection des données à évaluer la validité et l’efficacité de cette évaluation dans le cadre de leurs enquêtes. Pour les deux technologies, l’expert externe a identifié les risques spécifiques en matière de protection des données et de la vie privée posés par l’acquisition, le développement et l’utilisation de la technologie en question.

Le projet sur les risques liés à l’IA comprend plusieurs éléments livrables disponibles (en anglais) ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

ICO (autorité anglaise)

L’ICO publie sa décision concernant le chatbot « My AI » de Snap

L’ICO l’a annoncé il y a quelques semaines, c’est désormais chose faite : l’autorité a publié sa décision concernant le chatbot « My AI » de Snap. Après avoir analysé les différentes caractéristiques du traitement (nature du traitement, contexte, respect des principes, etc.), et conformément à la déclaration faite il y a quelques semaines l’autorité conclut sa décision en indiquant que « Snap a effectué une DPIA révisée qui est conforme aux exigences de l’article 35 du GDPR britannique. Par conséquent, il n’y a aucune raison pour que le commissaire émette un avis d’exécution qui exige que Snap prenne, ou s’abstienne de prendre, des mesures spécifiques afin de mettre ses opérations de traitement en conformité avec l’article 35 du GDPR britannique. En outre, après avoir examiné les observations de Snap, y compris une déclaration de témoin accompagnée d’une déclaration de vérité d’un cadre supérieur de Snap, le commissaire a conclu que Snap n’a pas enfreint l’article 36, paragraphe 1, du GDPR du Royaume-Uni en omettant de consulter le commissaire avant de commencer le traitement des données à caractère personnel en rapport avec My AI. »

[Ajout contextuel Portail RGPD: Pour rappel, l’enquête avait été lancée lorsque l’ICO a constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission de protection de la vie privée

Les amendes de l’autorité norvégienne prononcées contre Meta et Facebook ont été annulées

Dans une décision du 18 juin 2024, faisant suite à une décision de sanction prononcée par l’autorité de protection des données norvégienne qui a été contestée par la société par Facebook Norvège, la Commission de la protection des données a conclu « que la décision d’amende coercitive à l’encontre de Meta Ireland et de Facebook Norway doit être annulée car elle ne repose sur aucune base juridique« .

En cause ? Une erreur procédurale. Selon la décision,  cette affaire soulève un certain nombre de questions procédurales fondamentales liées aux recours de droit administratif contre de telles décisions. La Commission se contente ici de faire référence au désaccord entre l’autorité norvégienne de protection des données, Meta Ireland et Facebook Norway quant aux limitations applicables au traitement par la Commission du recours contre la décision relative à une amende coercitive. De l’avis de la Commission, rien dans les travaux préparatoires de la loi sur les données personnelles n’indique que le ministère avait également l’intention d’introduire la possibilité pour l’autorité de contrôle d’imposer une amende coercitive pour les décisions urgentes au titre du chapitre VII. Si l’intention était que l’article 29 de la loi sur les données à caractère personnel fournisse une telle base juridique, on peut raisonnablement s’attendre à ce que le ministère ait procédé à des évaluations et à des clarifications approfondies de la question de la compétence de la Commission dans de tels cas dans les travaux préparatoires de la loi sur les données à caractère personnel. Le principe de légalité impose également que des dispositions procédurales soient incluses dans la loi pour réglementer les dérogations aux règles générales sur les recours et les annulations du chapitre VI de la loi sur l’administration publique et la disposition spéciale de l’article 51, cinquième paragraphe, sur les recours contre les décisions d’exécution. De l’avis de la Commission, il s’agit de questions qui ne se prêtent pas à une clarification par la pratique des organes administratifs.

La Commission de la protection des données a ainsi conclu que l’article 29 de la loi sur les données personnelles doit être interprété de manière restrictive, de sorte que la disposition n’autorise pas l’autorité norvégienne de protection des données, en tant qu’autorité de contrôle concernée, à adopter une décision sur une amende coercitive pour assurer le respect d’une décision urgente prise en vertu de l’article 66, paragraphe 1 (à savoir la procédure d’urgence). La disposition n’autorise l’adoption d’une décision sur une amende coercitive que pour assurer le respect d’ordonnances dans des affaires non transfrontalières.

Disponible (en norvégien) sur: personvernnemnda.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut