Les actualités que vous avez peut-être manqué cet été, la protection des données ne sirote pas de cocktails !
EN FRANCE
I. Fais ce que je dis mais pas ce que je fais
L’association NOYB a porté plainte le 24 août devant la CNIL.
Elle accuse Google d’envoyer sa propre publicité dans la boîte mail principale des utilisateurs Gmail sans le consentement de ces derniers.
NOYB indique donc que ces mails sont des courriels de marketing direct et qu’ils nécessitent le consentement des utilisateurs.
Affaire à suivre !
II. 600 000 euros d’ACCOR ou pas d’accord
Le 3 août 2022, la CNIL a prononcé une sanction à l’encontre du groupe hôtelier français ACCOR.
- Les clients étaient inscrits sur des newsletters commerciales dont la procédure pour exercer son droit de retrait était défectueuse.
- La case relative au consentement était pré-cochée par défaut or cette pratique est interdite, le consentement doit être recueilli positivement.
- Défaut de sécurité des données personnelles avec une utilisation de mots de passe insuffisamment robuste et une transmission par e-mail de carte d’identité sans chiffrement des données.
III. Petit creux dans les caisses de Total Énergies
La CNIL a condamné la société Total Énergies Électricité et Gaz de France au paiement d’une amende d’1 million d’euros à la suite de 2 ans d’enquête.
La CNIL a retenu les manquements suivants :
- Manquement à l’obligation de proposer aux utilisateurs des moyens pour s’opposer à la réutilisation de leurs données à des fins de prospections commerciales pour des produits et services analogues ;
- Manquement à l’obligation d’informer les utilisateurs démarchés téléphoniquement sur le traitement de leurs données ;
- Manquement à l’obligation de respecter le droit d’accès aux données et le droit d’opposition ;
- Manquement à l’obligation de répondre dans un délai d’un mois à une demande d’exercice des droits.
IV. Précisions sur l’obligation de notification à la CNIL
Dans sa décision du 22 juillet, le Conseil d’État considère que « L’obligation de notifier à la CNIL une violation de données à caractère personnel ne s’impose pas au responsable du traitement qui a lui-même été informé de cette violation par la CNIL ».
Ainsi, si la CNIL constate elle-même une violation de données et en informe le responsable de traitement, ce dernier n’est plus soumis à l’obligation de notification de la violation à la CNIL.
V. Risque de sanction à hauteur de 60 millions d’euros pour Criteo
Après plus de 2 ans d’enquête, la CNIL a publié le 3 août 2022 un rapport faisant état de plusieurs violations du RGPD par Criteo. La société encourt une amende de 60 millions d’euros.
Ce premier rapport fait suite à une plainte déposée en 2018 par l’organisation Privacy International pour création de faux profils sur les personnes sans leur consentement.
La décision de la CNIL est attendue courant 2023.
À L’INTERNATIONAL
VI. Ça fait mal pour Ubeeqo International
La CNIL en coopération avec les autres autorités européennes concernées (Belgique, Danemark, Espagne, Italie, Allemagne) a prononcé une sanction le 7 juillet 2022 à l’encontre de Ubeeqo International, société de location de véhicules de courte duré.
Ubeeqo collectait les données de géolocalisation de ses clients tous les 500m lorsque le véhicule était en mouvement, lorsque le moteur s’allumait ou s’éteignait, ou lorsque les portes s’ouvraient et se fermaient.
La société a porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente :
- Manquement à l’obligation de minimisation des données
- Manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée (conservation 3 ans après la location)
- Manquement à l’obligation d’informer les personnes
VII. Interprétation extensive des données sensibles par la CJUE
Dans son arrêt rendu le 1er août 2022, la cour de justice de l’union européenne (CJUE) étend la notion de données sensibles à toutes données « susceptibles de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique ».
Le directeur d’un établissement de droit lituanien, percevant des fonds publics actif dans le domaine de la protection de l’environnement, avait manqué à son obligation de déposer sa déclaration d’intérêt afin de lutter contre la corruption. Il estimait que cela portait atteinte au respect à sa vie privée et à la protection de ses données car la déclaration était publiée sur internet et révélait des informations sur son conjoint.
La juridiction de renvoi lituanienne a saisi le CJUE de 2 questions préjudicielles, dont une visant à déterminer si la divulgation indirecte de l’orientation sexuelle d’une personne physique constituait un traitement portant sur des catégories particulières de données à caractère personnel au sens de l’article 9 paragraphe 1 du RGPD.
La CJUE retient une interprétation large des données sensibles dès lors que de manière indirecte, le nom du conjoint peut révéler l’orientation sexuelle de la personne concernée.
VIII. Nouveau genre de record pour Instagram
La CNIL Irlandaise a sanctionné Instagram, filiale du groupe Meta, maison mère de Facebook, à hauteur de 405 millions d’euros pour violation de la vie privée des mineurs (publication de leurs adresses téléphoniques et numéros de téléphone).
Il s’agit de la décision la plus sévère infligée par la CNIL Irlandaise depuis l’entrée en vigueur du RGPD en 2018.
IX. La Commission Européenne accusée d’avoir violé le RGPD
Un citoyen allemand accuse la Commission Européenne d’avoir violé le RGPD en confiant l’hébergement du site de la Conférence sur l’avenir de l’Europe, à Amazon Web Services.
Un recours a été déposé devant le tribunal de l’Union européenne qui a accepté d’instruire la plainte.
Les faits reprochés sont les suivants, lors de l’inscription sur la plateforme, les données personnelles peuvent être transférées vers les États-Unis. D’après l’association Europäische Gesellschaft für Datenschutz, la Commission Européenne, qui a invalidé le Privacy Shield, devrait elle aussi être assujettie à l’interdiction des transferts hors EU qu’elle prône.
X. Twitter ou le petit poucet de la fuite de données
En juillet 2022, une base de données contenant adresses e-mail et parfois numéros de téléphone de 5,4 millions d’utilisateurs de Twitter Android a été mise en vente.
- La faille datant de décembre 2021, a été découverte sur la plateforme bug bounty HackerOne le 6 janvier 2022
- Elle a été corrigée le 13 janvier 2022
- La base de données a néanmoins été mise en vente sur Breached Forum le 21 juillet 2022
XI. Le partage des données entre le Royaume-Uni et les Etats-Unis
A partir du 3 octobre 2022, les autorités du Royaume-Uni et des États-Unis pourront échanger les données personnelles de leurs citoyens.
Les citoyens britanniques n’étant plus protégés par le règlement européen depuis le Brexit, la signature de l’accord conjoint baptisé Cloud ACT permettra aux forces de l’ordre de chaque pays de demander à l’autre les données de ses utilisateurs.
XII. 1,2 millions de plus pour Sephora
Le 24 août 2022, la filiale US de Sephora (LVMH) est devenue la première société sanctionnée sous le régime du California Consumer Privacy Act (CCPA) en vigueur depuis 2020 (la loi de protection des données personnelles des consommateurs californiens).
- Absence d’information claire et explicite sur la revente à des tiers des données personnelles collectées.
- Non-prise en compte des demandes d’opposition (opt-out) à la vente des données dans le délai de 30 jours imposé
- Gestion opaque des cookies tiers
XIII. Encore un petit 60 millions pour Google LLC
La Commission australienne de la concurrence et de la consommation (« ACCC ») a annoncé le 12 août 2022, que la Cour fédérale avait imposé une amende de 60 millions de dollars à Google LLC pour avoir fait des déclarations trompeuses aux consommateurs concernant la collecte et l’utilisation de leurs données personnelles de localisation sur les téléphones Android entre janvier 2017 et décembre 2018.