Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut