GuiGui's Show

Baptisée « TV2Store », l’offre s’appuie sur un échantillon commun de plus de 70 000 foyers abonnés Orange et porteurs actifs d’une carte de fidélité des enseignes du groupe Casino (Géant Casino, Supermarché Casino, Monoprix et Franprix).

Dans les faits, les données sont des données pseudonymisées « n’ayant pas pour finalité l’identification des clients [ pipeau, risque de ré-identification ], et traitées après consentement préalable des personnes concernées […]

https://web.archive.org/web/20230917154253/https://nitter.privacydev.net/pic/orig/media%2FERxNJSuXkAo8rEr.jpg :

Conjuguer les logs télé et le ticket de caisse des personnes qui ont une carte de fidélité […]
[ 8 campagnes fin 2019 ]
[ +6% de parts de marché et + 8% de CA ]

• C-154/21 : il est possible d'obtenir les destinataires précis / nominatifs de nos données à caractère personnel, pas juste des catégories de destinataires. Là encore, le RGPD était clair (« La personne concernée a le droit d'obtenir […] c) les destinataires ou catégories de destinataires »), mais il a fallut aller jusqu'à la CJUE… Évidemment, il en va de même pour les sources des données, cf. les points 29 et suivants de la délibération de la CNIL à l'encontre d'EDF ;
  
  
• C-487/21 : le droit d'accès permet d'obtenir une reproduction fidèle (pas de vague description) et intelligible de toutes nos données à caractère personnel, donc un tableau synthétique n'est pas forcément suffisant et la communication de documents et d'extraits de bases de données peut être pertinente (si indispensable à une personne pour exercer ses droits, comme la présence d'un champ libre ‒ absence d'info est une info ‒, de données générées à partir d'autres, d'une nécessaire appréciation du contexte du traitement, etc.) ;
  
  
• C-579/21 : il est possible obtenir la date et la finalité des consultations de nos données perso par des employés, etc. (ce qui suppose que ça soit journalisé / tracé, si l'on a rien, on file rien… mais on s'expose à absence de sécurité du SI m'enfin, on en est pas encore là).

Les usages personnels ou domestiques de données à caractère personnel sont exemptés de l'application du RGPD (article 2 de celui-ci), mais la condition est stricte : un carnet de contacts contenant des données pro n'est pas exempté, de même qu'un particulier louant son domicile, pas plus qu'une publication (y compris sur un réseau social).

+ https://noyb.eu/sites/default/files/2023-05/OnePager%20France.pdf

Au vu du bilan de mes plaintes CNIL, je partage les griefs formulés à l'encontre de la CNIL : lenteur + le plaignant n'est pas considéré comme une partie, donc la procédure n'est pas contradictoire, le plaignant ne reçoit pas d'information sur les actions menées et les décisions prises (pas d'accès au dossier, même après la prise de la décision, il faut formuler une demande CADA supplémentaire ou exercer son droit d'accès RGPD…), une plainte peut avoir aucune suite (elle vise à informer la CNIL qui décide seule si elle bouge), etc.

Avant la publication de NOYB, la Commission européenne a proposé un règlement européen harmonisant les procédures. Résumé de la position de NOYB. À suivre, mais pour l'heure, le contexte est essentiellement la coopération entre les APD, et ça cause clauses de confidentialité (NDA).

À sa demande, une loi irlandaise floue autorise l'APD locale à criminaliser toute expression (partage d'informations) sur des procédures en cours.

Les filiales européennes des GAFAM étant irlandaises afin de bénéficier d'une fiscalité douce, et le RGPD prévoyant un mécanisme de guichet unique, l'APD irlandaise est cheffe de file des plaintes contre les GAFAM.

Mouais… À voir si une telle incongruité tient dans le temps.

Une appli de taxis est maintenue par une société néerlandaise et par une société finlandaise, filiale du groupe russe Yandex.

Le transfert de données à caractère personnel est fondé sur les clauses contractuelles types (SCC). Mais, comme l'arrêt Schrems II de la CJUE en dispose, cela n'est pas suffisant en soit, il faut vérifier la législation étrangère et prendre d'éventuelles mesures supplémentaires.

Depuis le 1^er septembre 2023, une loi russe autorise les autorités russes à accéder aux données des passagers de taxis. L'APD finlandaise en conclut que les seules clauses contractuelles types sont insuffisantes.

Le responsable du traitement a fait appel, a clarifié l'application de la loi russe et a produit un calendrier des mesures complémentaires qu'il va déployer, donc la décision est suspendue.

Néanmoins, je trouve comique de voir la décision Schrems II, rendue contre la décision d'adéquation des États-Unis, être appliquée à la Russie, même si, bien entendu, Schrems II a toujours visé tous les États qui s'incrustent trop dans la vie privée des citoyens (y compris les États européens, sauf qu'il n'y a pas de décision d'adéquation, donc c'est plus compliqué à dénoncer).

Déroulement d'un contrôle de la CNIL.

Valiuz, le data-broker du groupe Muliez (Auchan, Decathlon, Boulanger, Leroy Merlin, etc.).

Avoir des comptes et des cartes de fidélité qui permettent d'obtenir des ristournes sorties de nulle part, qu'ils disaient. :))))

+ https://www.conseil-etat.fr/fr/arianeweb/CE/analyse/2022-10-21/459254

Il résulte du paragraphe 3 de l'article 38 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), éclairé par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité du RGPD. b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD. c) Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. 2) Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.

Bénéficiaire effectif = > 25 % du capital ou des droits de vote et/ou contrôle des organes de direction et/ou représentant légal.

Arbitrage entre vie privée et droit d'information.

L'accès à ces registres doit être limité aux obligations légales (établissements financiers, avocats, notaires, etc.) et aux intérêts légitimes (ONG, etc.).

Infogreffe publie toujours les bénéficiaires effectifs de plusieurs sociétés commerciales.