GuiGui's Show

+ https://noyb.eu/sites/default/files/2023-05/OnePager%20France.pdf

Au vu du bilan de mes plaintes CNIL, je partage les griefs formulés à l'encontre de la CNIL : lenteur + le plaignant n'est pas considéré comme une partie, donc la procédure n'est pas contradictoire, le plaignant ne reçoit pas d'information sur les actions menées et les décisions prises (pas d'accès au dossier, même après la prise de la décision, il faut formuler une demande CADA supplémentaire ou exercer son droit d'accès RGPD…), une plainte peut avoir aucune suite (elle vise à informer la CNIL qui décide seule si elle bouge), etc.

Avant la publication de NOYB, la Commission européenne a proposé un règlement européen harmonisant les procédures. Résumé de la position de NOYB. À suivre, mais pour l'heure, le contexte est essentiellement la coopération entre les APD, et ça cause clauses de confidentialité (NDA).

À sa demande, une loi irlandaise floue autorise l'APD locale à criminaliser toute expression (partage d'informations) sur des procédures en cours.

Les filiales européennes des GAFAM étant irlandaises afin de bénéficier d'une fiscalité douce, et le RGPD prévoyant un mécanisme de guichet unique, l'APD irlandaise est cheffe de file des plaintes contre les GAFAM.

Mouais… À voir si une telle incongruité tient dans le temps.

Une appli de taxis est maintenue par une société néerlandaise et par une société finlandaise, filiale du groupe russe Yandex.

Le transfert de données à caractère personnel est fondé sur les clauses contractuelles types (SCC). Mais, comme l'arrêt Schrems II de la CJUE en dispose, cela n'est pas suffisant en soit, il faut vérifier la législation étrangère et prendre d'éventuelles mesures supplémentaires.

Depuis le 1^er septembre 2023, une loi russe autorise les autorités russes à accéder aux données des passagers de taxis. L'APD finlandaise en conclut que les seules clauses contractuelles types sont insuffisantes.

Le responsable du traitement a fait appel, a clarifié l'application de la loi russe et a produit un calendrier des mesures complémentaires qu'il va déployer, donc la décision est suspendue.

Néanmoins, je trouve comique de voir la décision Schrems II, rendue contre la décision d'adéquation des États-Unis, être appliquée à la Russie, même si, bien entendu, Schrems II a toujours visé tous les États qui s'incrustent trop dans la vie privée des citoyens (y compris les États européens, sauf qu'il n'y a pas de décision d'adéquation, donc c'est plus compliqué à dénoncer).

Déroulement d'un contrôle de la CNIL.

Valiuz, le data-broker du groupe Muliez (Auchan, Decathlon, Boulanger, Leroy Merlin, etc.).

Avoir des comptes et des cartes de fidélité qui permettent d'obtenir des ristournes sorties de nulle part, qu'ils disaient. :))))

+ https://www.conseil-etat.fr/fr/arianeweb/CE/analyse/2022-10-21/459254

Il résulte du paragraphe 3 de l'article 38 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), éclairé par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité du RGPD. b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD. c) Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. 2) Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.

Bénéficiaire effectif = > 25 % du capital ou des droits de vote et/ou contrôle des organes de direction et/ou représentant légal.

Arbitrage entre vie privée et droit d'information.

L'accès à ces registres doit être limité aux obligations légales (établissements financiers, avocats, notaires, etc.) et aux intérêts légitimes (ONG, etc.).

Infogreffe publie toujours les bénéficiaires effectifs de plusieurs sociétés commerciales.

Le Washington Post rapporte que l’association Catholic Laity and Clergy for Renewal a racheté pour 4 millions de dollars des données provenant de Grindr et autres applications de rencontres gay (Growlr, Scruff, Jack’da et OkCupid) en vue de débusquer les prêtres homosexuels de l’Église.

Trololo.

Concernant Grindr, lire aussi : https://noyb.eu/en/eu-58-million-fine-grindr-confirmed.

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs […] Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien.
En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion.

https://journalauto.com/services/orange-prepare-son-info-trafic/ :

[…] Ce test pilote porte sur un système de remontée d'informations relatives au trafic routier et qui repose sur le croisement des données apportées, d'un côté, par les infrastructures du concessionnaire d'autoroute, et de l'autre par l'opérateur téléphonique.

J'avais lu plusieurs affirmations non sourcées qu'Orange proposait aux collectivités l'évaluation du trafic des villes (exemple).

https://www.lemonde.fr/pixels/article/2020/03/26/confinement-plus-d-un-million-de-franciliens-ont-quitte-la-region-parisienne-en-une-semaine_6034568_4408996.html :

Selon une analyse statistique réalisée par Orange à partir des données de ses abonnés téléphoniques, 17 % des habitants de la métropole du Grand Paris ont quitté la région entre le 13 et le 20 mars.
[…]
L’étude a été réalisée par Orange sur la base des données de géolocalisation des téléphones de ses abonnés.

Résumé : les infos du trafic aérien sont publiées au nom de la sécurité aérienne ; calculer une empreinte carbone à partir d'elles est une nouvelle finalité ; il s'agit de données à caractère personnel : un avion est la propriété d'une personne morale, mais des articles de presse ou autres peuvent permettre l'identification des passagers ; le RGPD s'applique à des données publiées ; quel équilibre des droits et des libertés, entre respect de la vie privée et droit d'information ?

Pour ma part, dans le cas d'espèce, j'ai tendance à prioriser la vie privée car je peine à accorder une valeur informative aux publications. On sait que l'aviation pollue énormément. Peu importe que ce soit un vol de personnes ou de marchandise. Même si les milliardaires cessent de voler, l'empreinte écolo des vols de marchandises et de touristes sera toujours au-dessus des moyens de la planète. Dans ce contexte, les nombres annuels de vols et de passagers ne sont-ils pas des indicateurs pertinents et suffisants ? A-t-on besoin de ces publications pour savoir qu'un vol pour serrer la paluche à un autre dirigeant et/ou pour assister à une réunion (y compris les COP) sont inutiles ? :/