Analyse des décisions des autorités de protection des données européennes
Résumés et analyses des décisions des autorités européennes de protection des données. Elles traitent essentiellement du Règlement Général de Protection des Données (RGPD).
Les décisions de l’autorité française, la CNIL, concerne aussi les lois nationales comme la Loi Informatique et Libertés.
Année 2022
-
Un éditeur mis en demeure pour avoir collecté des données personnelles avec le module Google Analytics
Les données collectées étaient envoyées aux États-Unis, pays qui ne garantit pas une protection des données équivalente au RGPD.
-
L’association représentant la publicité digitale, IAB EUROPE, sanctionnée pour avoir conçu et utilisé un standard non conforme
Le standard TCF (Transparency & Consent Framework) créé par l’organisation et utilisé par la quasi-totalité des sites Internet ne respecte pas les exigences du RGPD.
-
L’association EU DISINFOLAB sanctionnée pour avoir collecté, analysé et divulgué des données de comptes Twitter à des fins de profilage politique
L’association belge collectait des données sur des comptes Twitter pour réaliser une étude en rapport avec l’affaire « Benalla » puis les publiées.
Année 2021
-
FACEBOOK sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter
La bannière de consentement du réseau était volontairement ambigüe pour inciter les utilisateurs à accepter les cookies publicitaires.
-
GOOGLE sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter
Le géant américain récidive en l’absence d’un bouton permettant aux visiteurs de refuser les cookies publicitaires sur ses sites Google.fr et YouTube.com.
-
L’opérateur FREE MOBILE sanctionné pour n’avoir pas correctement traité les demandes de ses clients relatives à leurs données personnelles
L’opérateur français aux 13 millions d’abonnés a commis des erreurs dans le traitement des demandes de droit ses clients. Il envoyait aussi les mots de passe d’accès à l’espace personnel par courrier papier.
-
La société SLIMPAY sanctionnée pour n’avoir pas sécurisé les données bancaires de ses clients
L’établissement agréé de paiement en ligne a utilisé les données de ses clients pour des études internes puis les a laissées sur un serveur accessible publiquement. 12 millions de clients sont concernés.
-
Un magasin sanctionné pour n’avoir pas donné suite aux demandes d’information de l’autorité de contrôle
Un magasin roumain spécialisé dans les compléments alimentaires naturels n’a pas fourni d’explications aux autorités qui enquêtaient sur l’envoi de SMS commerciaux non sollicités.
-
GRINDR sanctionnée pour avoir collecté et divulgué des données sur ses utilisateurs sans consentement valide
L’application mobile destinée à la communauté LGBTQ collectait et vendait les données de ses utilisateurs à de nombreux annonceurs sans respecter les exigences du RGPD en terme de consentement.
-
L’université de Varsovie (Pologne) sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses étudiants
Suite à une attaque informatique, les données personnelles des étudiants et du personnel ont été dérobées, mettant en lumière de nombreux manquements de sécurité.
-
La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes
L’éditeur américain spécialisé dans les logiciels de reconnaissance faciale récupérait des milliards d’images sur le Web afin d’alimenter sa base de données.
-
Le centre d’appel VALORIS CENTER sanctionné suite à la divulgation accidentelle de données personnelles appartenant à son fournisseur
Un centre d’appel, sous-traitant d’une banque roumanine, avait transmis les données de 11 000 clients de la banque à un client de la banque.
-
La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés
L’exploitant des transports en commun parisien permettait à de nombreuses personnes de consulter des données sur ses salariés, notamment le nombre de jours de grève, et de les utiliser pour évaluer les salariés.
-
Une société sanctionnée car son Délégué à la Protection des Données n’était pas en mesure de contrôler le respect du RGPD
Le positionnement du DPD et ses actions n’étaient pas conformes aux exigences du RGPD. Ses coordonnées n’étaient pas non plus communiquées.
-
Une entreprise autorisée à communiquer la retranscription des appels enregistrés plutôt que le son original
Une personne, qui avait demandé à recevoir une copie de ses données personnelles, souhaitait savoir s’il était acceptable de recevoir une transcription des appels plutôt que le son de sa voix.
-
Une société rappelée à l’ordre pour le conflit d’intérêts de son Délégué à la Protection des Données
Le DPD de la société était en mesure de définir les traitements effectuées, mais aussi de les contrôler.
-
La société FRANCETEST mise en demeure pour n’avoir pas suffisamment sécurisé des données de santé
L’éditeur d’un site Internet de traitement des résultats de tests COVID à destination des pharmaciens n’avait pas pris les mesures nécessaires pour sécuriser les données des patients.
-
Le Ministère de l’Intérieur rappelé à l’ordre à propos du Fichier Automatisé des Empreintes Digitales (FAED)
Le Ministère conservait illicitement les empreintes digitales ainsi que d’autres données personnelles.
-
ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes
L’éditeur ne respectait pas les demandes de suppression des données des internautes sous prétexte que les données était publiquement accessibles.
-
WHATSAPP sanctionnée pour avoir manqué de transparence sur la façon dont les données personnelles étaient traitées
L’application de messagerie de Facebook traitait les données de ses utilisateurs, mais aussi les données de personnes qui n’utilisaient pas l’application, sans les informer correctement.
-
Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes
Le journal en ligne français utilisait des cookies à des fins publicitaires sans le consentement des utilisateurs.
-
La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer
Le spécialiste des produits chimiques agricoles avait réalisé une liste de personnalités dans le but de réaliser des activités de lobbying sur l’utilisation du glyphosate en Europe, mais n’avait pas informé les personnes concernées de ce traitement.
-
L’assureur AG2R LA MONDIALE sanctionné pour avoir conservé trop longtemps des données personnelles sur ses clients et prospects
L’assureur ne supprimait pas les données de ses clients et enregistraient les appels téléphoniques avec ses prospects sans les informer.
-
AMAZON sanctionné pour des manquements au RGPD
Le géant du e-commerce ciblait illicitement les personnes à des fins publicitaires, sans leur consentement, sans les informer et sans qu’ils puissent s’y opposer.
-
BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité
Le spécialiste de la vente en ligne de matériel de bricolage ne supprimait pas les données de ses clients et prospects, ne protégeait pas sufisamment les données, envoyait des e-mails promotionnels sans le consentement des personnes et utilisait des cookies sans l’accord des internautes.
-
La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs
La société ne communiquait pas d’informations claires sur les traitements effectués, notamment sur les algorithmes utilisés. Elle conservait aussi les données personnelles des livreurs sans raison et permettait à de nombreuses personnes de consulter les données.
-
L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement
La société en charge de l’exploitation de l’aéroport n’avait pas pris les mesures pour assurer la confidentialité des données de son application destinée aux lanceurs d’alertes.
-
Le Ministère de l’Intérieur rappelé à l’ordre suite à l’enregistrement d’images de la population avec des drones
Le Ministère enregistrait illicitement des images non floutées de la population à l’aide de drones équipés d’objectifs de haute définition.
Année 2020
-
TWITTER sanctionné pour avoir déclaré tardivement la divulgation de données personnelles
Le réseau social avait déclaré avec 2 jours de retard la divulgation de tweets privés de certains de ses utilisateurs.
-
BOOKING.COM sanctionné pour avoir déclaré tardivement la divulgation de données personnelles
Le site de réservation avait déclaré avec 22 jours de retard un accès illégitime à sa plateforme.
-
La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires
La société spécialisée dans la livraison de déjeuners d’affaires pour les professionnels envoyait de nombreux e-mails promotionnels sans le consentement des personnes.
-
La société PERFORMECLIC sanctionnée pour avoir envoyé massivement des e-mails publicitaires sans le consentement des destinataires
La société spécialisée dans l’envoi de prospection commerciale par e-mail avait acheté une base de données d’e-mails et l’utilisait pour réaliser des campagnes publicitaires pour ses clients.
-
Un médecin d’un laboratoire d’analyses médicales sanctionné pour n’avoir pas sécurisé les données médicales de ses patients
Les images médicales de ses patients étaient librement accessibles sur Internet, sans aucune protection.
-
AMAZON sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant de la vente en ligne utilisait des cookies publicitaires et marketing sur son site Amazon.fr sans l’accord préalable de ses visiteurs.
-
GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes
Le géant américain utilisait des cookies publicitaires et marketing sur son site Google.fr sans le consentement des utilisateurs. Des cookies étaient aussi utilisés même si l’internaute s’y oppposait.
-
CARREFOUR BANQUE sanctionnée pour avoir traité partagé illicitement les données de ses clients et pour avoir communiqué des informations incomplètes et inaccessibles
La filiale bancaire de Carrefour partagait illicitement des données avec les magasins Carrefour et ne détaillait pas les traitements effectués sur les données de ses clients.
-
CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements
La gestion laborieuse des données personnelles par le géant de la grande distribution, notamment : la conservation illicite de données, le manque de transparence sur les traitements effectués, une sécurité trop faible et une utilisation illicite de cookies.
-
La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients
La compagnie anglaise a fait face à une attaque informatique qui mis en lumière les faiblesses de sécurité de son système informatique.
-
Deux municipalités danoises sanctionnées car les disques de ses ordinateurs n’étaient pas chiffrés
Les municipalités n’avaient pas correctement sécurisé les données personnelles de ses citoyens et s’étaient fait voler deux ordinateurs contenant ces données.
-
La société H&M sanctionnée pour avoir collecté et traité illicitement des données personnelles sur ses salariés
Des chefs d’équipe de ses bureaux de Nuremberg notaient, en toute illégalité, des informations sur les employés, sur leur état de santé et sur leurs activités extra-professionnelles.
-
Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens
Le rectorat de l’Éducation nationale avait communiqué des données personnelles des lycéens de son académie à une députée.
-
Une députée rappelée à l’ordre pour avoir demandé et obtenu des données personnelles sur des lycéens
La députée de l’Assemblée Nationale souhaitait envoyer des courriers de félicitations aux bacheliers.
-
SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité
Le spécialiste de la vente à distance de chaussures conservait les données sur ses clients sans limite de durée et enregistrait tous les appels téléphoniques de ses salariés.
-
L’opérateur téléphonique WINDTRE sanctionné pour avoir envoyé des messages publicitaires à ses abonnés sans consentement valable
L’opérateur italien recourait à des pratiques très douteuses pour obtenir le consentement des abonnés et gérait très mal les demandes d’opposition.
-
Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable
La société réclamait une copie de la carte d’identité uniquement lorsque ses utilisateurs demandaient la suppression de leurs données à caractère personnel.
-
La société JOBTEAM sanctionnée pour avoir supprimé les données d’une personne qui avait demandé à les consulter
La société spécialisée dans le recrutement n’avait pas donné suite à la demande d’accès aux données à caractère personnel de la personne et avait supprimé les données.
-
La société ELECTRIC RENTING GROUP sanctionnée pour avoir divulgué les adresses e-mails de prospects
Le loueur espagnol de véhicules electriques avait envoyé un e-mail promotionnel à des dizaines destinataires sans mettre leurs adresses en copie cachée.
Année 2019
-
La banque ING sommée d’accepter les caractères accentués dans le nom de ses clients
La banque n’acceptait pas de modifier son système informatique, car le changement était couteux.