Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

NOYB – None of your business

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

CNIL

Modifications des traitements de données soumis à formalités : quelles démarches ?

Certains traitements de données de santé, soumis à des formalités préalables auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Tel est également le cas des arrêtés relatifs à des traitements ayant un objet pénal, ou encore de tout texte de niveau décret ou supérieur prévoyant les caractéristiques essentielles d’un traitement de données à caractère personnel. Si les modifications ont un impact substantiel sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL. Afin d’aider les responsables de traitement concernés (principalement des administrations centrales) à identifier et à accomplir ces démarches, la CNIL a publié ce jour une fiche pratique.

Disponible sur: CNIL.fr

APD (autorité belge)

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Homo Digitalis

L’autorité grecque de protection des données inflige au ministère des migrations et de l’asile l’amende la plus importante jamais imposée à un organisme public grec pour les inconformités de ses systèmes « Centaurus » et « Hyperion ».

Dans son article, l’association militante explique qu’ il y a deux ans, Homo Digitalis avait déposé une plainte contre le ministère de l’Immigration et de l’Asile pour les systèmes « Centaurus » et « Hyperion » déployés dans les structures d’accueil et d’hébergement des demandeurs d’asile, en coopération avec les organisations de la société civile Hellenic League for Human Rights et HIAS Greece, ainsi que l’universitaire Niovi Vavoula. Le système « Centaurus » est un système numérique de gestion de la sécurité électronique et physique autour et à l’intérieur des installations, utilisant des caméras et des algorithmes d’analyse comportementale de l’intelligence artificielle, tandis que le système « Hyperion » est le principal outil de contrôle de l’accès (entrée et sortie) à ces installations à l’aide de données biométriques.

Aujourd’hui, l’association annonce que l’Autorité hellénique de protection des données a identifié d’importantes violations du GDPR dans cette affaire par le ministère de l’Immigration et de l’Asile, parmi lesquelles l’absence d’AIPD, la quasi-impossibilité pour les personnes concernées d’exercer leurs droits. En conséquence, l’autorité a décidé d’imposer une amende de 175 000 euros – décrite comme la plus élevée jamais imposée à un organisme public dans le pays – et a par ailleurs 3 mois pour se mettre en conformité avec la réglementation.

[Ajout contextuel Portail RGPD: Cette sanction met en valeur les différences entre le régime juridique grec et le régime français : en France, les sanctions pécuniaires sont en effet expressément écartées par l’article 20 de la Loi Informatique et Libertés s’agissant des traitements mis en œuvre par l’Etat.]

Disponible (en anglais) sur: homodigitalis.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut