DONNÉES PERSONNELLES – ACTUALITÉS février 2025

FRANCE

• • Véhicules connectés: la CNIL publie son programme de travail 2025
  • IA: Publication par la  CNIL de deux recommandations pour encadrer l’IA dans le respect du RGPD.  

• • Bilan 2024 de la CNIL:
    • 87 sanctions prononcées  pour un montant total de 55 212 400 €
    • 180 mises en demeure
    • 64 rappels aux obligations légales 

UNION EUROPÉENNE

• E-privacy: La Commission européenne retire le projet de règlement. 
• Âge en ligne: L’EDPB (CEPD) adopte une déclaration sur le contrôle de l’âge en ligne

SANCTIONS 

• Défaut de signalement d’une violation de données par une banque: Le 17 janvier 2025, l’UODO (autorité polonaise de protection des données) a infligé une amende de 928 000 euros à la banque XSA pour ne pas avoir notifié une violation de données personnelles à ses clients. En juillet 2022, des documents contenant des informations sensibles, telles que des noms, adresses et numéros PESEL (identifiant national polonais unique), avaient été envoyés par erreur à une autre banque. L’UODO a jugé que cette violation présentait un risque élevé pour les droits des personnes concernées et a ordonné à XSA d’informer les clients affectés dans un délai de 7 jours. 
• Classement public des élèves par une école: Le 7 février 2025, l’autorité de protection des données de Lettonie (DVI) a publié un billet de blog pour communiquer sur des alertes reçues de la part de parents relatives à la publication nominative de classements des élèves avec affichage des notes de chacun, dans les écoles ou sur l’outil en ligne de l’établissement. La DVI rappelle que si l’objectif est de récompenser et de motiver les élèves les plus performants, le traitement des données doit être proportionné et prendre en compte le préjudice potentiel pour les élèves moins performants. La DVI recommande de fournir les informations sur les performances et le classement de chaque enfant individuellement à l’enfant et à ses parents, sans identifier les autres élèves.
• Vidéosurveillance excessive dans un lycée: L’autorité roumaine de protection des données (ANSPDCP) a sanctionné le lycée Vasile Conta pour un dispositif de vidéosurveillance excessif, incluant des caméras dans les toilettes et un accès non sécurisé aux images. Ces pratiques violent les principes de licéité et de minimisation des données (art. 5 RGPD) ainsi que les obligations de sécurité (art. 32 RGPD).
• Moteur de recherche: La CNIL a adressé un rappel à ses obligations légales à la société QWANT, estimant que les données transmises par son moteur de recherche à MICROSOFT étaient pseudonymes et non anonymes.
• Banques: L’Agence espagnole de protection des données (AEPD) a sanctionné plusieurs banques du groupe Caja Rural suite à une violation de données personnelles. Elle a notamment reproché aux banques l’absence de surveillance proactive, l’insuffisance des mesures de protection des identifiants et l’absence d’authentification multifactorielle.

PLAINTES

• Apple visé par un signalement de la La Ligue des droits de l’Homme (LDH) relatif à l’enregistrement des conversations par SIRI

CONTACT

Me Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel ET DPO certifié (VERITAS), accompagne régulièrement ses clients pour des audit RGPD, lors des contrôles de la CNIL, en tant que DPO externe.