IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le Royaume-Uni a émis la première mise en demeure sous l'ère RGPD
à l'encontre d'une firme canadienne liée au scandale Cambridge Analytica

Le , par Bill Fassinou

462PARTAGES

15  0 
Entré en vigueur le 25 mai dernier, le Règlement Général pour la Protection des Données est devenu au fil des mois une sorte d’épouvantail pour les firmes exploitant les données de leurs utilisateurs. Si au début, on remarquait que le respect de la réglementation était assez mitigé, aujourd’hui, la tendance s’est uniformisée. Les sites ne voulant pas s’y plier ont fermé l’accès aux utilisateurs vivant en Union européenne et les autres ont travaillé sur leurs politiques de confidentialité pour se mettre en règle.

Bien que le RGPD soit de plus en plus appliqué, certains États comme le Royaume-Uni ont décidé de ne pas s’en contenter, prenant à l’interne des lois complémentaires visant à renforcer la force coercitive de la réglementation européenne. Le Data Privacy Act 2018 naissait ainsi au Royaume-Uni. Les premières mesures officielles sous l’ère de cette double réglementation étaient donc attendues.


Paradoxalement, elles étaient tellement attendues qu’elles sont passées totalement inaperçues. En effet, en juillet dernier, l’Information Commissionner’s Office (ICO), le responsable de la protection des données personnelles au Royaume-Uni, a signifié une mise en demeure à la firme canadienne AggregateIQ Data Services Ltd. Le courrier de mise en demeure demandait à l’entreprise de « cesser de traiter les données personnelles de citoyens britanniques ou européens obtenues auprès d'organisations politiques du Royaume-Uni à des fins d'analyse de données, de campagne politique ou à d'autres fins publicitaires ».

Pour une raison qui nous échappe, la mise en demeure n’est pas inscrite à la page « Mesures d’application » de l’ICO, mais plutôt joint en annexe au rapport de l’organisme sur son « enquête sur l’utilisation de l’analyse de données dans les campagnes politiques ». Ce qui explique un peu le fait qu’elle soit passée sous silence depuis juillet.

La première chose à remarquer, c’est que l’ICO a pris une mesure d’exécution contre une entreprise en dehors de sa juridiction. Ce qui est assez peu fréquent. Mais, comme le stipule le point b du paragraphe 2 de l’article 3 du RGPD, si une entreprise située en dehors de l’Union européenne traite des données personnelles se rapportant au contrôle du comportement de personnes vivant à l’intérieur de l’UE, elles sont d’office soumises au RGPD. La firme canadienne AggregateIQ Data Services Ltd se retrouvait dans ce profil, d’où la mise en demeure.

Ensuite, il faut remarquer que ce courrier de mise en demeure a des lacunes assez récurrentes dans les processus de réglementation de l’utilisation des données. Les termes sont assez vagues. Quand l’ICO parle de « cesser le traitement », que veut-il dire ? Le stockage simple étant déjà une forme de traitement, cela veut-il dire qu’AggregateIQ Data Services Ltd doit purement et simplement supprimer toutes les données stockées ? Comme souvent, les termes sont trop sujets à interprétation.

En somme, AggregateIQ Data Services est accusé d’avoir violé les articles 5, 6 et 14 du RGPD en « traitant les données à caractère personnel sans que les personnes concernées en aient eu connaissance à des fins auxquelles elles (ces personnes) n’auraient pas pu s’attendre et sans fondement légal ».

Rappelons, à toutes fins utiles que la firme canadienne AggregateIQ Data Services Ltd est connue pour avoir été un fournisseur de logiciels et d’outils pour la gestion des données de ciblage des électeurs lors du « Cambridge Analytica Gate ». De plus, en mars dernier, des chercheurs en cybersécurité ont découvert que l’entreprise avait laissé en ligne un référentiel de codes accessible au public. Ce référentiel de codes contenait non seulement des outils de micro-ciblage, mais aussi des données politiques. C’est donc pour l’ensemble de l’œuvre de l’entreprise que l’ICO lui a signifié cette mise en demeure.

Cependant, la firme canadienne nie toute connivence avec Facebook ou Cambridge Analytica. « AggregateIQ n'a jamais fait partie de Cambridge Analytica ou de SCL (maison mère de Cambridge Analytica). AggregateIQ respecte toutes les exigences légales et réglementaires de toutes les juridictions où il opère. Il n'a jamais été sciemment impliqué dans une activité illégale. AggregateIQ n'a jamais géré ni eu accès à aucune donnée ou base de données de Facebook prétendument obtenue de manière abusive par Cambridge Analytica », explique l’entreprise sur son site web dans un communiqué. AggregateIQ n’a pas souhaité s’épancher en commentaires sur la mise en demeure, mais a quand même fait comprendre qu’une procédure d’appel était lancée.

Source : ICO, Mishcon de Reya

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Un mois après l'entrée en vigueur du RGPD, personne ne respecte vraiment le règlement européen qui est interprété différemment d'un acteur à l'autre

Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains

L'application imminente du RGPD pourra-t-elle mettre à mal le service WHOIS ? Oui, selon l'ICANN, qui demande un moratoire pour mieux se préparer

Vous pouvez échapper au RGPD en excluant l'Europe de votre site, un service de « gdpr-shield.io » propose de bloquer les utilisateurs européens

Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux, des sites bloquent les européens

Une erreur dans cette actualité ? Signalez-nous-la !