Dernières actualités : données personnelles

ICO (autorité anglaise)

Un vendeur de voitures condamné à une amende pour avoir conservé et vendu des données à des concurrents

Quelques mois après la publication d’une sanction envers un stagiaire de Rent-A-Car pour avoir traité des données illégalement, c’est cette fois au tour d’un vendeur de « Laeseline Vehicle Management Ltd » d’être condamné pour avoir vendu des données à des concurrents.

Peu avant de démissionner de son poste de conseiller commercial chez Leaseline Vehicle Management Ltd, Alexander D., 44 ans, a vendu plus de 3 600 informations personnelles qu’il avait extraites de la base de données interne des clients de l’entreprise. Il a contacté plusieurs entreprises concurrentes avec ces informations, tout en prétendant que les données lui appartenaient. La violation a été découverte en novembre 2022 et a fait l’objet d’une enquête de l’ICO. L’homme a plaidé coupable d’avoir obtenu et vendu illégalement des données, en violation de l’article 170 de la loi sur la protection des données de 2018. Il a comparu devant la St Albans Crown Court le mardi 17 septembre, où il a été condamné à payer une amende de 1 200 livres sterling et 300 livres sterling de frais.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un homme de Porthcawl condamné après une escroquerie « effrontée » à la voiture d’une valeur de plusieurs centaines de milliers de livres sterling

Un homme qui avait accédé illégalement à des données personnelles a été condamné à la suite de notre enquête.

Jonathan Riches, 46 ans, a plaidé coupable d’une infraction à l’article 55 de la loi de 1998 sur la protection des données (Data Protection Act 1998) devant la Cardiff Crown Court. Le tribunal a appris que Riches avait accédé illégalement aux données d’automobilistes d’Enterprise Rent-A-Car et qu’il avait poursuivi des réclamations pour dommages corporels à des fins lucratives. Les infractions ont été commises entre 2009 et 2011. M. Riches était auparavant un employé d’Enterprise Rent-A-Car, qu’il a quitté en 2009 pour créer son propre cabinet de réparation de dommages corporels. Il était toujours en contact avec d’anciens collègues, ce qui lui permettait d’obtenir illégalement les coordonnées de personnes impliquées dans des accidents de la route et de les contacter pour leur proposer des services juridiques. À un moment donné, M. Riches, par l’intermédiaire de ses complices, a eu accès à la base de données interne d’Enterprise, ce qui lui a permis d’accéder aux données personnelles des clients.

Le juge Francis a condamné M. Riches à une amende de 10 000 livres sterling et à des frais de 1 700 livres sterling.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Les autorités nordiques publient un guide commun sur la protection des enfants jouant à des jeux sur internet

Les 13 et 14 octobre 2022, une « réunion nordique sur la protection des données » s’est tenue à Helsinki pour discuter des questions d’actualité dans le domaine de la protection des données et pour partager des expériences. Les autorités nordiques de protection des données (DPA) ont adopté la « Déclaration d’Helsinki », dans laquelle il a été convenu que la protection des données des enfants était une priorité pour les autorités nordiques.

L’autorité danoise de protection des données a attiré l’attention sur les conclusions d’un rapport de groupe de réflexion rédigé par la Danish Society Engineers et DataEthics.eu sur les technologies du jeu, les données et les enfants, qui met en lumière la nécessité de mieux protéger les droits des enfants jouant à des jeux numériques. Compte tenu de l’essor de l’industrie des jeux numériques, y compris dans les pays nordiques, les autorités de protection des données des pays nordiques ont décidé de créer un groupe de travail informel sur les enfants et les jeux en ligne. Ce groupe devait tout d’abord envisager des activités communes de sensibilisation et d’orientation afin de promouvoir les droits des enfants en matière de protection des données.

Le groupe de travail s’est particulièrement concentré sur la nécessité de fournir des orientations de base aux responsables du traitement des données qui doivent veiller à ce que les enfants bénéficient de la protection à laquelle ils ont droit lorsqu’ils conçoivent et développent des jeux numériques. Ce document, qui est le résultat de la coopération nordique telle qu’elle a été décidée à Helsinki en octobre 2022, fournit des conseils de base pour le traitement conforme au RGPD dans le contexte des jeux en ligne utilisés par les enfants. Il explore quatre des principes de traitement des données énoncés dans le règlement – équité, transparence, minimisation des données et responsabilité – et présente un certain nombre de questions et de considérations importantes pour les responsables du traitement. Les autorités annonce que ce guide n’a pas l’intention d’être exhaustif ; non seulement il existe d’autres principes de traitement des données, mais les principes sont tous délibérément de nature générale et nécessiteront des mises en œuvre différentes dans des circonstances différentes. De même, si les quatre principes examinés ici sont importants, ils complètent, plutôt qu’ils ne remplacent, les autres dispositions du RGPD. Il appartient donc aux responsables du traitement d’examiner minutieusement leurs activités de traitement et de déterminer ce qu’ils doivent faire pour se conformer à la loi et aux droits de leurs joueurs.

Disponible (en anglais) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courthousenews

Google devra bien répondre en justice d’accusations de violation de la loi fédérale américaine protégeant les données des enfants

Google doit répondre à des accusations de violation de la loi fédérale sur la protection des enfants en ligne, ainsi que des lois sur l’enrichissement sans cause et la concurrence déloyale en vigueur dans plusieurs États, en permettant aux développeurs de suivre et de collecter des données sur les enfants sans leur autorisation. Le juge de district P. Casey Pitts a rejeté dans son intégralité la demande de Google de rejeter les plaintes déposées par un groupe d’enfants qui accusent l’entreprise technologique d’avoir violé la loi fédérale sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act), qui vise à protéger les enfants contre la collecte de leurs informations personnelles sans le consentement de leurs parents.

« Les plaintes des plaignants, qui portent notamment sur la concurrence déloyale, l’enrichissement sans cause et les violations de la vie privée en Californie, ne sont pas emportées par la loi fédérale », a déclaré M. Pitts.

Dans une ordonnance de 16 pages déposée mardi en fin de journée, le juge a rejeté chacune des tentatives de Google d’esquiver le procès. En ce qui concerne la plainte californienne pour atteinte à la vie privée, par exemple, le géant de la technologie a fait valoir en partie que l’intrusion dans la vie privée n’était pas, comme l’exige la loi de l’État, « hautement offensante ». M. Pitts, estime néanmoins que « aussi peu sensibles ou intimes que soient les informations personnelles collectées ici, écrit-il, l’allégation selon laquelle les défendeurs ont collecté les données en violation de la loi fédérale bien qu’ils aient affirmé que leurs applications de programme [conçues pour les familles] ne faisaient pas de publicité basée sur les intérêts suffit à montrer que l’intrusion des défendeurs dans les attentes des plaignants en matière de respect de la vie privée était très choquante ».

Disponible (en anglais) sur: courthousenews.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

Le procureur général Bonta et le procureur de la ville de Los Angeles annoncent un règlement de 500 000 dollars avec Tilting Point Media pour avoir collecté et partagé illégalement des données sur les enfants

OAKLAND – Le procureur général de Californie, Rob Bonta, et le procureur de Los Angeles, Hydee Feldstein Soto, ont annoncé un règlement de 500 000 dollars avec Tilting Point Media LLC (Tilting Point), qui met fin aux allégations selon lesquelles l’entreprise aurait violé la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi fédérale sur la protection de la vie privée des enfants en ligne (COPPA) en collectant et en partageant les données des enfants sans le consentement de leurs parents dans leur jeu mobile populaire « Bob l’éponge : Krusty Cook-Off ». Outre une amende civile de 500 000 dollars, Tilting Point doit se conformer à des injonctions garantissant une collecte et une divulgation légales des données, notamment en obtenant le consentement des parents et en faisant preuve de diligence lors de la configuration de logiciels tiers dans ses jeux mobiles.

« Les entreprises ont l’obligation légale de protéger les données des enfants et de se conformer aux lois fédérales et étatiques importantes en matière de protection de la vie privée, conçues pour protéger les enfants en ligne. Si elles ne le font pas, elles mettent nos enfants en danger et les rendent vulnérables à la collecte, au suivi et à la vente de leurs données personnelles », a déclaré le procureur général Bonta. « Comme les enfants passent de plus en plus de temps en ligne, que ce soit sur des sites web ou des applications mobiles, nous utiliserons tous les outils d’application de la loi pour nous assurer que la loi est respectée et que les entreprises font preuve de diligence en ce qui concerne les exigences de la loi sur la protection de la vie privée. Je remercie le bureau du procureur de la ville de Los Angeles pour son travail sur cette question et je me réjouis de continuer à collaborer avec les partenaires locaux, étatiques et fédéraux pour protéger la vie privée des enfants. »

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

« Microsoft viole la vie privée des enfants – mais rejette la faute sur l’école locale » : l’association NOYB dépose plainte

Dans le sillage de la pandémie, les écoles de l’Union européenne ont commencé à mettre en place des services numériques pour l’apprentissage en ligne. Si ces efforts de modernisation sont les bienvenus, un petit nombre de grandes entreprises technologiques ont immédiatement tenté de dominer l’espace – souvent dans l’intention d’habituer les enfants à leurs systèmes et de créer une nouvelle génération de futurs clients « fidèles ». L’une d’entre elles est Microsoft, dont les services 365 Education violent les droits des enfants en matière de protection des données. Lorsque les élèves ont voulu exercer leurs droits en vertu du GDPR, Microsoft a déclaré que les écoles étaient le « responsable du traitement » de leurs données. Or, les écoles n’ont aucun contrôle sur les systèmes.

Two children handing in their GDPR rights to Microsoft at the entrance to a school.

Disponible sur: noyb.eu

Comité européen sur la protection des données (EDPB)

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Actualité du CEPD : avis sur l’utilisation de la reconnaissance faciale par les aéroports et les compagnies aériennes

Le Comité européen de la protection des données (CEPD) a adopté un avis sur la reconnaissance faciale dans les aéroports indiquant que les individus doivent garder le contrôle sur leurs données biométriques. Le 24 mai 2024, le CEPD s’est réuni en session plénière. Au cours de cette séance, il a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports. Cet avis fait suite à une demande de la CNIL afin d’avoir une position harmonisée à l’échelle européenne face à une pratique qui tend à se répandre en Europe et au-delà.

Il est à noter que l’avis a une portée limitée et n’examine pas l’utilisation de la reconnaissance faciale en général et, en particulier, il ne couvre pas l’utilisation de la reconnaissance faciale à des fins de sécurité, de contrôle des frontières ou par les services répressifs.

Disponible sur: CNIL.fr

Retour en haut