Google et les cookies…
En début d’année, Google a commencé à concrétiser sa promesse de supprimer progressivement les cookies de suivi tiers du navigateur Chrome. De plus en plus d’utilisateurs ont été invités à activer le Privacy Sandbox, un système de suivi censé protéger la vie privée. Le principe est qu’au lieu de transmettre les données personnelles des utilisateurs aux annonceurs tiers, Google effectuerait le suivi au sein du navigateur Chrome. Cela devait être un changement positif pour les utilisateurs, mais Google a finalement annoncé qu’il ne supprimerait pas les cookies tiers.
Dans son communiqué de presse google indique : « Au lieu de supprimer les cookies tiers, nous introduirions une nouvelle expérience dans Chrome qui permet aux utilisateurs de faire un choix éclairé qui s’applique à toute leur navigation sur le Web ». C’est quoi un « choix éclairé » en langage Google ?
Histoire à suivre….
Compétences de la CNIL …
En France l’autorité en charge du contrôle de l’application du RGPD est la CNIL. Mais-a-t-elle un droit de regard sur tout ? Et bien non.
Une personne concernée par l’utilisation de ses données personnelles lors d’un procès a demandé au Tribunal administratif de Cergy-Pontoise (responsable du traitement) l’accès à ses données relatives à deux affaires le concernant et ayant été traitées dans un système de traitement automatisé de données appelé « Sagace ». Le tribunal a rejeté la demande. La personne à saisie la CNIL qui s’est déclarée incompétente. (en vertu de l’article 55(3) du RGPD, l’APD n’avait pas compétence pour trancher des affaires faisant référence à l’exercice de la capacité judiciaire par le tribunal).
Dans le système juridique français, l’article 45 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique a conféré au Conseil d’Etat le pouvoir de contrôler les activités de traitement de données par les juridictions administratives dans l’exercice de leurs fonctions juridictionnelles.
Cybersécurité : le top 8 des cyberattaques en 2024
Et pour vous familiariser avec tous les termes techniques de cybersécurité, n’hésitez pas à télécharger le dictionnaire de l’ANSI : ICI format pdf
Actualités
Finlande : La DPA a réprimandé un opérateur de bus pour avoir publié les numéros de téléphone personnels de ses employés sur l’intranet de l’entreprise.
Il est tout à fait possible d’avoir un annuaire d’entreprise sur intranet, mais pour publier des numéros de téléphone « personnels » il est d’abord impératif d’obtenir l’accord écrit du salarié.
Vinted Condamné en Lituanie
La APD (Autorité de protection des données) a infligé une amende de 2 385 276 € à Vinted pour entre autres le non-respect du droit à l’effacement.
Premièrement, l’APD a constaté que le responsable du traitement n’avait pas donné suite aux demandes d’effacement des données. L’APD a rejeté l’argument du responsable du traitement et a estimé qu’il ne pouvait pas refuser les demandes d’effacement des personnes concernées au seul motif qu’elles ne mentionnaient pas spécifiquement l’un des motifs prévus à l’ article 17(1) du RGPD .
En outre, même si le responsable du traitement avait eu raison de refuser la demande, il aurait dû fournir aux personnes concernées les raisons de son inaction, en leur indiquant les finalités pour lesquelles leurs données continueraient à être traitées après la présentation de la demande.
Deuxièmement, l’APD a estimé que le responsable du traitement appliquait des pratiques de « shadow blocking ». Ces pratiques consistent à exclure un utilisateur de la plateforme sans que celui-ci soit informé de cette exclusion. Selon l’APD, ce type de pratique violait les principes de traitement équitable et transparent des données.
Troisièmement, l’APD a estimé que le responsable du traitement n’avait pas pris de mesures techniques et organisationnelles suffisantes pour garantir la mise en œuvre du principe de responsabilité et pour être en mesure de démontrer qu’il avait pris (ou raisonnablement refusé de prendre) des mesures concernant le droit d’accès. Pour ces motifs, l’APD a constaté une violation des articles 5(1)(a) , 5(2) , 12(1) et 12(4) du RGPD et a infligé une amende de 2 385 276 €.
Droit d’accès aux données, oui mais pas toujours
La CNIL autrichienne a estimé que le « l’intérêt d’un avocat à préserver la confidentialité des relations entre avocat et client l’emportait sur le droit d’accès de la personne concernée à ces informations ». Le demandeur n’a pas pu avoir accès à ses données personnelles détenue par l’avocat.
Pays bas : Très cher le cookie
Aux Pays-Bas un site à été condamné à 600 000 € pour avoir placé des cookies de suivi avant d’avoir obtenu le consentement. De plus, la case de consentement était pré-cochée.
Attention au partage de données
En Allemagne un tribunal a jugé qu’une banque avait violé les articles 5 et 6 du RGPD en signalant des créances litigieuses à une agence de notation de crédit. Le tribunal a accordé à la personne concernée 4 000 € de dommages et intérêts en vertu de l’article 82 du RGPD.
Attention aux contrats avec les sous traitants
En Grèce l’APD a constaté qu’une municipalité et son sous-traitant avaient un contrat inadéquat et des mesures de sécurité insuffisantes après qu’une vulnérabilité d’une page Web a divulgué des milliers de fichiers à des utilisateurs Internet non autorisés.
L’APD a infligé une amende de 20 000 € au responsable du traitement bien que la responsabilité de la fuite et du manque de sécurité soit du ressort du sous-traitant.
RGPD : assurez votre mise en conformité !
Comme la démarche peut s’avérer complexe, Mégane DIDIER & l’équipe d’experts RGPD se tiennent à votre disposition pour échanger sur la mise en place de ce règlement au sein de votre structure et ainsi sécuriser le traitement de vos données.
Découvrez notre accompagnement complet et réalisez un audit gratuit !
