Dernières actualités : données personnelles

PIPC (autorité coréenne)

 La PIPC  organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines tels que l’université, le droit, la société civile et les organisations d’affaires) sur les transferts transfrontaliers de données personnelles le mardi 19 novembre, afin de procéder à une évaluation de la reconnaissance d’équivalence pour l’Union européenne (UE) par un comité d’experts. Le PIPC analyse le système juridique et le système de protection de l’Union européenne depuis février, date à laquelle il a préparé un plan visant à promouvoir la reconnaissance de l’équivalence de la protection des informations personnelles à l’UE, et l’évaluation du Comité d’experts marque le début du processus de collecte d’opinions publiques et privées.

Voilà un pas de plus vers la reconnaissance mutuelle d’adéquation !

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Meta donne aux utilisateurs de nouvelles options concernant leur ciblage

Aujourd’hui, les utilisateurs de Facebok et d’Instagram doivent choisir entre accepter le profilage à des fins de marketing comportemental ou payer une redevance mensuelle – ce que l’on appelle le « consentement ou le paiement » ou le « pay or okay ». Ces modèles sont controversés car beaucoup pensent qu’ils ne permettent pas aux utilisateurs de faire un choix volontaire. Le marketing comportemental a également été critiqué parce qu’il implique la surveillance des mouvements en ligne d’un individu, ce qui remet en cause la protection de la vie privée.

Ce changement intervient en partie à la suite de l’intervention des autorités chargées de la protection des données en Europe. Pour les autorités de contrôle, il est important de veiller à ce que les utilisateurs disposent d’une réelle liberté de choix lorsqu’ils sont invités à donner leur consentement. « Bien que nous devions évaluer plus en détail les modifications apportées, il est positif de constater que les utilisateurs bénéficient d’un plus grand choix et d’un meilleur contrôle », déclare Tobias Judin, chef de section.

Selon l’annonce de Meta, les publicités de la nouvelle option seront basées sur l’âge, le sexe et la localisation estimée de l’individu. En outre, l’utilisateur bénéficiera d’un marketing dit contextuel, c’est-à-dire que les publicités seront adaptées au contenu qu’il consulte. Par exemple, si vous voyez des messages ou des vidéos sur les voitures, il se peut que vous voyiez des publicités liées aux voitures. Dans le même temps, il convient de noter que, bien que les publicités contextuelles ne soient initialement liées qu’à ce que l’utilisateur regarde, un profilage et une personnalisation détaillés ont lieu en arrière-plan pour déterminer les publications et les vidéos que vous voyez sur Facebook et Instagram. Il n’est donc pas clair dans quelle mesure ce profilage affecte aussi indirectement les publicités que vous voyez.
Selon Meta, les changements seront mis en œuvre au cours des prochaines semaines.

[Ajout contextuel Portail RGPD: Ce nouveau changement fait suite à l’opinion 08/2024 du CEPD sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne, dans lequel le Comité a estimé que « Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences en matière de consentement valable si les utilisateurs ne sont confrontés qu’à un choix
binaire entre le consentement au traitement de données à caractère personnel à des fins de publicité comportementale et le versement d’une rémunération. […] Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’«option équivalente», ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel. « ]

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données pour une application efficace de la loi. S’agissant de ce premier sujet, globalement, l’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023 :

  • En ce qui concerne les aspects commerciaux, c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
  • En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du DPF souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du DPF. L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
  • En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.

Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.

Disponible sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DVI (autorité lettonne)

#DVIexplains : quelles sont les erreurs les plus courantes en matière de bannières de cookies ?

Dans nos lignes directrices sur l’utilisation des cookies sur les sites web, nous avons déjà expliqué les bonnes et les mauvaises pratiques en matière de placement de bannières de cookies ou de fenêtres contextuelles sur les sites web des organisations. Nous avons également expliqué la nature des cookies et la raison de leur traitement dans la section « Que dois-je savoir sur les cookies ? Cependant, dans la pratique, nous rencontrons encore des sites web qui n’incluent pas d’avis sur les cookies, qui ne fonctionnent pas ou qui ne sont pas configurés comme il se doit. Nous avons également trouvé des cas où l’avis relatif aux cookies est correctement paramétré, mais où, dans la pratique, les cookies sont toujours traités, par exemple si le visiteur n’a pas consenti à l’utilisation facultative des cookies. C’est pourquoi, dans cette explication, nous nous concentrerons à nouveau sur la non-conformité la plus importante et la plus facilement perceptible, à savoir les bannières de cookies mal créées.

Ainsi, dans ses recommandations se trouvant dans l’article ci-dessous, l’autorité rappelle (cas pratiques à l’appui) que :
* La bannière relative aux cookies doit être simple, sans informations inutiles ou trompeuses. Cette bannière doit fournir au visiteur des informations pratiques sur les cookies qui seront traités sans son consentement (fonctionnels) et sur les cookies pour lesquels il a la possibilité de donner son accord s’il le souhaite. Si le site web a l’intention de collecter UNIQUEMENT des cookies fonctionnels (pour lesquels le consentement n’est pas requis), une brève description peut être fournie et un bouton tel que « compris » peut être ajouté.
* Si le consentement est requis pour des cookies facultatifs, tels que les statistiques, le contenu personnalisé ou les cookies de marketing, vous devez avoir la possibilité d’exprimer votre accord ou votre désaccord. Toute bannière relative aux cookies doit également inclure un lien (bouton) vers des informations complémentaires, c’est-à-dire une politique en matière de cookies ou une politique de confidentialité expliquant comment les cookies sont gérés.
* L’organisation doit expliquer clairement la signification de la fenêtre contextuelle et les conséquences du choix du visiteur. Elle doit être présentée dans la langue choisie par le visiteur.  Les visiteurs du site web ne doivent pas avoir l’impression qu’ils ne pourront pas consulter le site ou qu’il ne fonctionnera pas correctement s’ils ne donnent pas leur consentement à l’utilisation de cookies facultatifs.

Disponible (en letton) sur:  dvi.gov.lv
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

La Corée du Sud veut reconnaître l’UE « adéquate » afin de supprimer les obstacles à l’échange de données

En décembre 2021, l’Union européenne a publié une décision d’adéquation pour la Corée, reconnaissant le niveau de protection des données à caractère personnel en Corée comme équivalent à celui de l’Union européenne et autorisant le transfert de données à caractère personnel des États membres de l’UE vers la Corée (transferts offshore). Toutefois, comme il n’existait pas de système équivalent en Corée à l’époque, une décision mutuelle d’adéquation n’a pas pu être mise en œuvre et une décision unilatérale d’adéquation a été prise, qui n’a autorisé que le transfert de données à caractère personnel de l’UE vers la Corée.

La Corée du Sud a, depuis, modifié sa loi : ainsi, a l’occasion de la 46e Assemblée mondiale de la protection de la vie privée (GPA), le commissaire Ko a expliqué au ministre Reinders le fonctionnement du système de reconnaissance d’équivalence en Corée du Sud (équivalent du système d’adéquation), qui a été introduit par l’amendement de la loi sur la protection des informations personnelles l’année dernière, et les deux organisations ont convenu de continuer à renforcer leur coopération. La PIPC a choisi l’Union européenne comme premier pays à être considéré pour le système de reconnaissance d’équivalence afin de renforcer la coopération avec l’Union européenne, avec laquelle il a un partenariat stratégique de longue date et de confiance, et de soutenir la forte demande de transferts d’informations transfrontaliers sécurisés.

Pour rappel, l’Assemblée mondiale de la protection de la vie privée est la plus grande consultation internationale sur la protection de la vie privée, avec 140 organisations de 92 pays, dont la Corée, les États-Unis, l’Union européenne, le Royaume-Uni et le Japon, et se tient chaque année, la réunion de 2025 étant prévue à Séoul.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

En Allemagne, les contrôles de la SDTB permet d’améliorer la protection des données sur plus de 1 500 sites web saxons

Suite à un contrôle à grande échelle de la Commission de protection des données et de transparence de Saxe (SDTB) mené en juin, plus de 1.500 exploitants de sites web ont amélioré la protection des données de leurs pages. Lors d’un contrôle en mai de cette année, la SDTB a constaté l’utilisation illégale de Google Analytics sur 2 300 des 30 000 sites Internet saxons. Dans tous ces cas, le service d’analyse web a permis de collecter des données sans que les visiteurs n’aient donné leur consentement préalable : à l’installation de cookies d’analyse et/ou à l’établissement de connexions serveur avec Google Analytics.

La commissaire à la protection des données de Saxe, Dr. Juliane Hundert a déclaré que :
« Pour de nombreux citoyens, il est important de ne pas être traqué sans qu’on le leur demande lorsqu’ils utilisent Internet. Les analyses automatisées des sites web effectuées par mon administration ont non seulement permis d’identifier un grand nombre de violations de la protection des données, mais aussi d’en éliminer la majeure partie. Sur deux tiers des sites web identifiés, il est désormais renoncé à l’utilisation de Google Analytics pour le suivi du comportement des utilisateurs, ou un consentement clair est demandé au préalable. Le contrôle a également permis aux responsables d’améliorer le niveau de protection des données pour d’autres services. Ainsi, le nombre de cookies sur les sites contrôlés a diminué de moitié. C’est une bonne nouvelle pour la protection des données sur Internet. D’autres audits automatisés de sites web sont déjà prévus ».

L’autorité a également annoncé que les responsables qui, malgré la demande de la SDTB, continuent de traiter illégalement les données des utilisateurs avec Google Analytics, doivent désormais s’attendre à des sanctions.  L’autorité alerte également les responsables de traitement sur le fait qu’un nombre considérable de bannières de cookies ne faisaient pas ce que les paramètres promettaient. Dans certains cas, des services étaient exécutés et des cookies étaient installés alors que les paramètres indiquaient « désactivé ».

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

En Belgique, RTL Belgium condamné à modifier sa bannière cookie non conforme

Dans une décision publiée ce jour, RTL Belgium a reçu une injonction (sous astreinte de 40 000 euros par jour de retard) à modifier sa bannière cookies afin de la rendre conforme au RGPD dans les 45 jours. Cette sanction fait suite à une plainte déposée le 19 juillet 2023 par une plaignante représentée par NOYB. Lors de sa visite sur le site, la plaignante a identifié plusieurs problèmes liés à la gestion des cookies, notamment l’absence d’options claires pour refuser les cookies. Le site proposait un bouton « Accepter et fermer », mais ne présentait pas un bouton équivalent pour refuser les cookies directement.

L’enquête a révélé que la bannière de cookies de RTL Belgium n’était pas conforme aux exigences du RGPD. La plaignante a mis en avant trois violations principales :
* Absence de bouton « Tout refuser » au premier niveau : La bannière présentait uniquement l’option « Accepter et fermer » sans possibilité équivalente de refuser tous les cookies, ce qui rendait le refus des cookies plus difficile.
* Utilisation trompeuse des couleurs : Le bouton « Accepter et fermer » était mis en avant par une couleur orange contrastante, tandis que le bouton « En savoir plus » (permettant un éventuel refus des cookies) était moins visible, de la même couleur que le fond de la bannière.
* Difficulté de retrait du consentement : Le retrait du consentement nécessitait plusieurs actions supplémentaires par rapport à l’acceptation des cookies, ce qui compliquait le processus.

L’APD estime en effet que RTL Belgium a violé les articles 5.1.a) et 6.1.a) du RGPD, qui exigent que le consentement soit libre, spécifique, éclairé, et aussi facile à retirer qu’à donner. RTL Belgium n’a pas offert un choix clair et équitable entre accepter et refuser les cookies, et l’usage des couleurs sur la bannière incitait les utilisateurs à accepter les cookies.  L’APD estime « qu’un choix libre implique que le bouton permettant de refuser le dépôt de tous les cookies soit proposé à un niveau au moins égal que celui permettant d’en accepter le dépôt », et l’illustre par le schéma ci-dessous:

Au dessus: la bannière de RTL Belgium et la bannière recommandée par l’APD belge.

[Ajout contextuel Portail RGPD: La présente décision porte sur l’incapacité à refuser en un clic alors qu’il n’en faut qu’un pour accepter, mais comme le fait remarquer Guillaume Champeau sur LinkedIn (attention, lien tracé), le schéma proposé par l’APD et repris ci-dessus semble contredire les recommandations de la CNIL, selon lesquelles les éditeurs de sites web peuvent  »mettre en place un très discret lien « Continuer sans accepter », à un autre endroit que le beaucoup plus visible bouton « Tout Accepter »  ». La position de l’APD Belge semble donc plus stricte, mais également plus respectueuse de l’esprit des textes : l’idée est de lutter contre les designs visant à pousser l’utilisateur à accepter par défaut, celui-ci ne souhaitant prendre plusieurs secondes pour trouver comment refuser.]

Disponible sur: autoriteprotectiondonnees.be

Comité européen sur la protection des données (EDPB)

Mise à jour des lignes directrices sur la directive ePrivacy

Suite à la consultation publique qui a eu lieu en fin d’année 2023, le CEPD a publié ce jour la dernière version des lignes directrices concernant la directive ePrivacy.
Pour rappel, dans ces lignes directrices, le CEPD traite de l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » à différentes solutions techniques. Ces lignes directrices développent l’avis 9/2014 du groupe de travail « Article 29 » sur l’application de la directive « vie privée et communications électroniques » à la prise d’empreintes digitales de dispositifs et visent à fournir une compréhension claire des opérations techniques couvertes par l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques ».

Les lignes directrices identifient trois éléments clés pour l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » (section 2.1), à savoir « l’information », « l’équipement terminal d’un abonné ou d’un utilisateur » et « l’accès à l’information et le stockage de l’information et de l’information stockée ». Les lignes directrices fournissent en outre une analyse détaillée de chaque élément (sections 2.2-2.6).
Dans la section 3, cette analyse est appliquée à une liste non exhaustive de cas d’utilisation représentant des techniques courantes, à savoir
– le suivi des URL et des pixels
– le traitement local
– le traçage basé uniquement sur l’IP
– le signalement intermittent et médiatisé de l’internet des objets (IoT).
– l’identifiant unique

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut