Dernières actualités : données personnelles

CJUE – Arrêt C‑507/23

En cas de violation de données, des excuses peuvent suffire à réparer le dommage moral, mais la bonne foi du responsable de traitement n’importe pas

Dans un arrêt publié ce jour, la Cour a d’abord rappelé qu’une violation de dispositions du RGPD ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. S’agissant de ce dommage, la CJUE a alors ajouté que : 
1- La présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
2- Le RGPD s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-200/23

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-4/23

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE – Arrêt C-548/21

L’accès de la police aux données contenues dans un téléphone portable n’est pas nécessairement limité à la lutte contre la criminalité grave

Dans un arrêt publié ce jour, la CJUE rappelle que l’accès à l’ensemble des données contenues dans un téléphone portable peut constituer une ingérence grave, voire particulièrement grave, dans les droits fondamentaux de la personne
concernée. Elle estime néanmoins que considérer que seule la lutte contre la criminalité grave est susceptible de justifier l’accès à des données contenues dans un téléphone portable limiterait indûment les pouvoirs d’enquête des autorités compétentes. Il en résulterait un accroissement du risque d’impunité pour des infractions pénales en général et donc un risque pour la création d’un espace de liberté, de sécurité et de justice dans l’Union.

Cela étant, une telle ingérence dans la vie privée et la protection des données doit :
1- Être prévue par la loi, ce qui implique que le législateur national doit définir de manière suffisamment précise les éléments à prendre en compte, notamment, la nature ou les catégories des infractions concernées.
2 – Être subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, sauf en cas d’urgence dûment justifié. Ce contrôle doit assurer un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et, d’autre part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Enfin, la personne concernée doit être informée des motifs sur lesquels repose l’autorisation d’accéder à ses données, dès que la communication de cette information n’est plus susceptible de compromettre lesenquêtes

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE – Arrêt C-21/23

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

Des étudiants de Harvard ont relié un programme d’intelligence artificielle à leurs lunettes Ray-Ban de Meta pour identifier les individus qu’ils croisent dans la rue

L’intelligence artificielle et les lunettes connectées, un cocktail risqué. Deux étudiants de Harvard, AnhPhu Nguyen et Caine Ardayfio, ont travaillé sur un projet, baptisé I-XRAY, combinant des lunettes connectées Ray-Ban de Meta avec des technologies de reconnaissance faciale. L’objectif étant d’identifier des individus dans les espaces publics et récupérer leurs données personnelles en temps réel. Les deux jeunes ingénieurs ont ainsi approché des personnes au hasard, en leur fournissant des infos sur leur emploi ou leurs activités sportives, après les avoir capturées quelques secondes auparavant avec les lunettes de Meta.
Ils ont ensuite détaillé leurs travaux sur le réseau social X, fin septembre 2024.

Disponible sur: numerama.com

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Les mauvaises procédures de la PSNI aboutissent à une amende de 750 000 £ (environ 900 000 euros)

Dans un communiqué publié ce jour, l’ICO annonce avoir infligé une amende de 750 000 £ au Service de police d’Irlande du Nord (PSNI) pour avoir exposé les informations personnelles de l’ensemble de son personnel, laissant de nombreuses personnes craindre pour leur sécurité. En effet, le 3 août 2023, le PSNI a reçu deux demandes d’accès à l’information de la part de la même personne via WhatDoTheyKnow (WDTK). La première demande « … le nombre d’officiers à chaque rang et le nombre d’employés à chaque grade… », la seconde demande une distinction entre « combien sont substantifs / temporaires / intérimaires… ». Les informations ont été téléchargées sous forme de fichier Excel avec une seule feuille de calcul à partir du système de gestion des ressources humaines (SAP) du PSNI. Les données comprenaient : les noms et les initiales des prénoms, la fonction, le grade, le département, le lieu du poste, le type de contrat, le sexe et le numéro de service et de personnel du PSNI.

Comme les informations ont été analysées en vue de leur divulgation, plusieurs autres feuilles de calcul ont été créées dans le fichier Excel téléchargé. Une fois l’analyse terminée, tous les onglets visibles à l’écran ont été supprimés du fichier Excel afin de ne garder que les résultats. La feuille de calcul originale, qui contenait les données personnelles a été oubliée et est restée sur le fichier, qui a été téléchargé sur le site web du WDTK à 14h31 le 8 août.
Le PSNI a été alerté de la violation par ses propres agents vers 16h10 le même jour. Le fichier a été caché par WDTK à 16 h 51 et supprimé du site web à 17 h 27. Six jours plus tard, le PSNI a annoncé qu’il partait du principe que le fichier était entre les mains de républicains dissidents et qu’il serait utilisé pour créer de la peur et de l’incertitude et à des fins d’intimidation.

L’enquête de l’autorité a révélé que des procédures simples à mettre en œuvre auraient pu empêcher cette grave violation, dans laquelle des données cachées sur une feuille de calcul publiée dans le cadre d’une demande de liberté d’information ont révélé les noms de famille, les initiales, les grades et les rôles de l’ensemble des 9 483 officiers et membres du personnel du PSNI. L’ICO précise qu’elle est consciente de la situation financière actuelle du PSNI et ne souhaitant pas détourner l’argent public de ses objectifs, le commissaire a fait usage de son pouvoir discrétionnaire pour appliquer l’approche du secteur public dans cette affaire. Si cette approche n’avait pas été appliquée, l’amende aurait été de 5,6 millions de livres sterling (soit 6,6 millions d’euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 3 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 3 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats) :
* Présentation du bilan de l’observatoire des élections 2024 et impacts du nouveau règlement européen relatif au ciblage de la publicité à caractère politique ;
* Présentation d’un projet d’observatoire des parcours d’exercice d’un droit ;
* Restitution de l’évènement « Recherches sur les enjeux éthiques et la régulation de l’intelligence artificielle ».

Partie II (sans débats) :
* Examen d’un projet de délibération portant approbation des règles d’entreprise contraignantes sous-traitant du groupe TALAN.

Disponible sur: CNIL.fr

Retour en haut