Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 19 juin 2023

Données personnelles

Le droit à l’information oui… mais dans les respects des droits et libertés des autres parties

• Un arrêt de la Cour de justice de l’Union européenne du 22 juin souligne le droit fondamental de chaque individu à être informé de la date et des raisons pour lesquelles ses données personnelles ont été consultées.
  L’affaire concerne un salarié et client d’une banque, qui a découvert en 2014 que ses données personnelles avaient été consultées à plusieurs reprises par d’autres membres du personnel de la banque entre novembre et décembre 2013.
  Après avoir été licencié, le salarié a demandé à la banque de divulguer l’identité des personnes ayant consulté ses données, les dates exactes des consultations et les finalités du traitement de ces données.
  La banque a refusé de divulguer l’identité des salariés, arguant qu’il s’agissait de données personnelles les concernant.
  Le demandeur a alors saisi le Bureau du délégué à la protection des données de Finlande, mais sa demande a été rejetée. Il a ensuite porté l’affaire devant le tribunal administratif de Finlande orientale, qui a demandé à la Cour de justice d’interpréter l’article 15 du RGPD.
  Dans son arrêt, la Cour a conclu que le RGPD s’applique à une demande présentée après le 25 mai 2018, même si les opérations de traitement des données à caractère personnel ont eu lieu avant cette date.
  Elle a également affirmé que les informations concernant les opérations de consultation des données, y compris les dates et les finalités, doivent être fournies à la personne concernée par le responsable du traitement.
  Cependant, le RGPD ne garantit pas un tel droit en ce qui concerne l’identité des salariés qui ont effectué ces opérations, sauf si ces informations sont indispensables pour permettre à la personne concernée d’exercer ses droits et à condition de prendre en compte les droits et libertés des salariés.
  Enfin, la Cour a souligné que le fait que le responsable du traitement soit une banque exerçant une activité réglementée et que la personne dont les données ont été traitées était à la fois cliente et employée de cette banque n’a pas d’incidence sur l’étendue du droit dont bénéficie cette personne.
  Dans l’ensemble, cet arrêt met en évidence l’importance du droit d’accès aux informations relatives aux données personnelles, tout en équilibrant les droits et les libertés des parties concernées. (CJUE 22 juin 2023, aff. C-579/21)

Les dérives du « reciblage publicitaire » : la CNIL sanctionne la société CRITEO

• Le 15 juin 2023, la CNIL a imposé une amende de 40 millions d’euros à la société CRITEO, spécialisée dans la publicité en ligne.
  CRITEO se spécialise dans le « reciblage publicitaire », en suivant la navigation des internautes pour afficher des publicités personnalisées. La société collecte les données de navigation grâce à un traceur (cookie) appelé CRITEO, déposé sur les terminaux des utilisateurs lorsqu’ils visitent certains sites partenaires de CRITEO.
  À partir de ces données, CRITEO analyse les habitudes de navigation pour déterminer les publicités les plus pertinentes à afficher à chaque internaute, en fonction de l’annonceur et du produit concerné.
  En réponse à des plaintes déposées par des associations, dont « NOYB » (association de Max Schrems), la CNIL a effectué des contrôles et a ainsi constaté cinq manquements au RGPD commis par CRITEO, notamment : l’absence de preuve du consentement, le défaut d’information et de transparence, le non-respect du droit...