GuiGui's Show

Une appli de taxis est maintenue par une société néerlandaise et par une société finlandaise, filiale du groupe russe Yandex.

Le transfert de données à caractère personnel est fondé sur les clauses contractuelles types (SCC). Mais, comme l'arrêt Schrems II de la CJUE en dispose, cela n'est pas suffisant en soit, il faut vérifier la législation étrangère et prendre d'éventuelles mesures supplémentaires.

Depuis le 1^er septembre 2023, une loi russe autorise les autorités russes à accéder aux données des passagers de taxis. L'APD finlandaise en conclut que les seules clauses contractuelles types sont insuffisantes.

Le responsable du traitement a fait appel, a clarifié l'application de la loi russe et a produit un calendrier des mesures complémentaires qu'il va déployer, donc la décision est suspendue.

Néanmoins, je trouve comique de voir la décision Schrems II, rendue contre la décision d'adéquation des États-Unis, être appliquée à la Russie, même si, bien entendu, Schrems II a toujours visé tous les États qui s'incrustent trop dans la vie privée des citoyens (y compris les États européens, sauf qu'il n'y a pas de décision d'adéquation, donc c'est plus compliqué à dénoncer).

Déroulement d'un contrôle de la CNIL.

Valiuz, le data-broker du groupe Muliez (Auchan, Decathlon, Boulanger, Leroy Merlin, etc.).

Avoir des comptes et des cartes de fidélité qui permettent d'obtenir des ristournes sorties de nulle part, qu'ils disaient. :))))

+ https://www.conseil-etat.fr/fr/arianeweb/CE/analyse/2022-10-21/459254

Il résulte du paragraphe 3 de l'article 38 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), éclairé par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité du RGPD. b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD. c) Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. 2) Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.

Bénéficiaire effectif = > 25 % du capital ou des droits de vote et/ou contrôle des organes de direction et/ou représentant légal.

Arbitrage entre vie privée et droit d'information.

L'accès à ces registres doit être limité aux obligations légales (établissements financiers, avocats, notaires, etc.) et aux intérêts légitimes (ONG, etc.).

Infogreffe publie toujours les bénéficiaires effectifs de plusieurs sociétés commerciales.

Le Washington Post rapporte que l’association Catholic Laity and Clergy for Renewal a racheté pour 4 millions de dollars des données provenant de Grindr et autres applications de rencontres gay (Growlr, Scruff, Jack’da et OkCupid) en vue de débusquer les prêtres homosexuels de l’Église.

Trololo.

Concernant Grindr, lire aussi : https://noyb.eu/en/eu-58-million-fine-grindr-confirmed.

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs […] Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien.
En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion.

https://journalauto.com/services/orange-prepare-son-info-trafic/ :

[…] Ce test pilote porte sur un système de remontée d'informations relatives au trafic routier et qui repose sur le croisement des données apportées, d'un côté, par les infrastructures du concessionnaire d'autoroute, et de l'autre par l'opérateur téléphonique.

J'avais lu plusieurs affirmations non sourcées qu'Orange proposait aux collectivités l'évaluation du trafic des villes (exemple).

https://www.lemonde.fr/pixels/article/2020/03/26/confinement-plus-d-un-million-de-franciliens-ont-quitte-la-region-parisienne-en-une-semaine_6034568_4408996.html :

Selon une analyse statistique réalisée par Orange à partir des données de ses abonnés téléphoniques, 17 % des habitants de la métropole du Grand Paris ont quitté la région entre le 13 et le 20 mars.
[…]
L’étude a été réalisée par Orange sur la base des données de géolocalisation des téléphones de ses abonnés.

Résumé : les infos du trafic aérien sont publiées au nom de la sécurité aérienne ; calculer une empreinte carbone à partir d'elles est une nouvelle finalité ; il s'agit de données à caractère personnel : un avion est la propriété d'une personne morale, mais des articles de presse ou autres peuvent permettre l'identification des passagers ; le RGPD s'applique à des données publiées ; quel équilibre des droits et des libertés, entre respect de la vie privée et droit d'information ?

Pour ma part, dans le cas d'espèce, j'ai tendance à prioriser la vie privée car je peine à accorder une valeur informative aux publications. On sait que l'aviation pollue énormément. Peu importe que ce soit un vol de personnes ou de marchandise. Même si les milliardaires cessent de voler, l'empreinte écolo des vols de marchandises et de touristes sera toujours au-dessus des moyens de la planète. Dans ce contexte, les nombres annuels de vols et de passagers ne sont-ils pas des indicateurs pertinents et suffisants ? A-t-on besoin de ces publications pour savoir qu'un vol pour serrer la paluche à un autre dirigeant et/ou pour assister à une réunion (y compris les COP) sont inutiles ? :/

Une entité publie une liste de ses débiteurs sur un groupe Facebook public (ouvert) afin de leur mettre la pression et de prévenir les gens.

Ce n'est pas conforme au RGPD par absence de base légale (la proportionnalité de l'intérêt légitime n'étant pas remplie).

Sans trop de surprise : la CJUE a popularisé le droit à l'oubli en ordonnant le déréférencement d'un article de presse traitant de la vente sur saisie de biens d'un seul particulier, alors une liste entière d'endettés…

Est-ce transposable aux listes publiques de blocage sur un réseau social décentralisé comme le pense Aeris ?

Guide de la CNIL pour traiter des données à caractère personnel lors de recrutement professionnels.

On y apprend, pages 26 et suivantes, que, hors agences d'intérim (exécution du contrat), un vivier de candidats (aka base de CVs, CVthèque, etc.) doit reposer sur le consentement. La page 51 exquise la possibilité de conserver le CV de « certains » candidats non-retenus sur la base de l'intérêt légitime, mais, par son aspect limité, il ne s'agit pas d'un vivier de candidats en tant que tel (qui est le 2^e cas de figure présenté, et qui est une nouvelle finalité). Pour ce vivier, les pages 5, 51 et 52 conseillent une durée de conservation adaptée au poste (emploi saisonnier != CDI) n'excédant pas deux ans. C'est pile ce que je défendais dans mes réclamations CNIL contre des cabinets de recrutement (le guide de la CNIL semble avoir été publié fin janvier 2023, mes plaintes datent de novembre 2022).