All

Divulgation de données personnelles à un tiers non concerné : un cabinet d’avocats sanctionné par l’AEPD

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre le cabinet d’avocats A.A.A., à qui il est reproché divulgué des données personnelles d’un débiteur présumé à une tierce personne qui n’était pas concernée par le dossier en cours de traitement. L’affaire a débuté le 28 avril 2024 par une réclamation déposée auprès de l’AEPD. Le plaignant, un Notaire (B.B.B.), a signalé qu’en date du 12 juin 2023, il avait reçu un courrier électronique du cabinet A.A.A. contenant une demande de paiement et une menace d’actions légales. Le problème majeur était que cet e-mail incluait comme destinataire (dans le champ « Para ») une tierce personne, C.C.C., qui lui semblait totalement étrangère à la dette en question.

L’enquête menée par l’AEPD a permis de confirmer:
* Confidentialité et intégrité (article 5 du RGPD): l’envoi de l’e-mail avec les détails de la dette à C.C.C., une personne qui n’était pas un débiteur solidaire prouvé, constitue un traitement de données personnelles. A.A.A. a été considéré comme le responsable du traitement pour cette opération. Cet e-mail listait clairement les noms et adresses électroniques des deux destinataires, et l’adresse de C.C.C. (EMAIL.3) n’apparaissait pas comme une adresse générique mais identifiable, associée à son nom et à son domaine professionnel (notariado.org), confirmant un envoi à un autre notaire qui n’avait pas à connaître cette dette. L’AEPD a ainsi retenu un manquement à l’obligation de confidentialité des données.

En conséquence, l’AEPD a prononcé une amende de 1 000 euros à l’encontre du cabinet d’avocats, réduite à 600 euros dans le cadre des procédures de reconnaissance de responsabilité et de paiement volontaire. Le cabinet devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Sanction pour traitement de données sans base légale : 2 000 € d’amende pour un particulier

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre d’un particulier, avec 1 200 euros d’amende à la clef, en raison d’un traitement de données personnelles sans base légale. L’affaire commence avec la plainte d’une personne signalant que A.A.A. avait présenté par voie télématique la déclaration d’impôt sur les successions (Modelo 650) pour le décès de son père le 3 mai 2023. Le plaignant affirmait pourtant qu’A.A.A. ne disposait d’aucune autorisation, pouvoir de représentation, ou engagement professionnel de sa part. Des erreurs étaient présentes dans la déclaration, et une résolution de l’Agence Tributaire d’Andalousie a d’ailleurs confirmé qu’A.A.A. n’avait pas l’autorisation de représentation pour présenter cette déclaration au nom du plaignant. Le plaignant a également subi un préjudice financier, ayant dû engager d’autres professionnels (avocate, gradué social, agent immobilier) pour rectifier la situation.

Au cours de l’enquête, l’AEPD a constaté que:
* Traitement sans base légale (article 6 du RGPD) : A.A.A. a effectué un traitement de données personnelles (incluant nom, prénoms, DNI, domicile, données fiscales) du plaignant sans disposer de la légitimité nécessaire, notamment en l’absence de la représentation requise pour présenter la déclaration en son nom. En outre, une requête demandant des informations sur la manière dont A.A.A. avait obtenu les données personnelles du plaignant et pourquoi il avait agi sans consentement a été envoyé le 31 mai 2024, mais la notification électronique a également expiré sans être consultée. Ainsi, l’AEPD a retenu l’absence de base légale.

En conséquence, l’AEPD a sanctionné A.A.A. à une amende de 2 000 euros, finalement réduite à 1 200 euros dans le cadre des procédures de paiement volontaire et de reconnaissance de responsabilité. 

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Freshly Cosmetics sanctionnée de 10 000 € d’amende pour de multiples manquements à sa politique de cookies

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de l’entreprise de cosmétiques Freshly Cosmetics, S.L., pour de multiples violations de la loi espagnole sur les services de la société de l’information et le commerce électronique (LSSI), concernant sa gestion des cookies. L’affaire commence avec une réclamation déposée auprès de l’AEPD le 17 septembre 2024 par un particulier signalant que le site de Freshly Cosmetics continuait d’utiliser des cookies sans permission, mentionnant spécifiquement que, même sans accepter les cookies de marketing, le chargement d’une vidéo YouTube entraînait l’installation de cookies publicitaires. Le plaignant rappelait également que l’entreprise avait déjà été sanctionnée deux ans auparavant pour des problèmes similaires liés aux cookies.

L’enquête de l’AEPD a permis de confirmer:
* Utilisation de cookies non techniques sans consentement préalable : En accédant au site pour la première fois sans aucune action ni acceptation du bandeau, des cookies de performance (AB_CHECKOUT, AB_SHIPMENTCOST) et de segmentation (_dyjsession, _dyid, DYID, _dyid_server) étaient déjà installés sur le terminal de l’utilisateur, alors que ces cookies ne sont pas strictement nécessaires techniquement et nécessitent un consentement préalable éclairé et exprès.

* Consentement par défaut et rejet inefficace : Le bandeau de cookies initial proposait d’accepter tout ou de personnaliser. En choisissant « Personnaliser », l’utilisateur accédait à un panneau de gestion où les catégories de cookies (autres que techniques) étaient pré-cochées sur « ON » (acceptées par défaut), ce qui est contraire aux exigences légales. De plus, même en décochant manuellement toutes les catégories et en choisissant de n’utiliser que les cookies nécessaires, le site continuait d’installer certains cookies non techniques, comme un cookie de segmentation (DYD/DYID) et un cookie de performance (AB_CHECKOUT).

* Impossibilité de modifier ou retirer le consentement : L’AEPD a constaté qu’il n’existait aucun mécanisme simple et permanent sur le site permettant à l’utilisateur de modifier ou de retirer son consentement aux cookies une fois qu’il avait été donné. La politique de cookies renvoyait uniquement l’utilisateur aux paramètres de son navigateur pour la gestion des cookies, ce qui n’est pas suffisant.

En conséquence, l’AEPD a décidé d’imposer à Freshly Cosmetics, S.L. une sanction de 10 000 euros. L’entreprise devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

L’AEPD condamne le Ministère de la Transition Ecologique en raison de problèmes de gestion du tarif social d’électricité

L’Agence espagnole de protection des données (AEPD) a, ce vendredi, publié une décision de sanction à l’encontre du Ministère pour la Transition Écologique et le Reto Démographique (MTERD) concernant le traitement des données personnelles dans le cadre des demandes de « Bono Social », une mesure de protection pour les consommateurs vulnérables d’électricité. Le processus s’appuie en grande partie sur un système informatique dénommé BOSCO. Cette affaire a débuté par une « plainte » de la part d’une fondation qui signalait un possible non-respect de la réglementation sur la protection des données personnelles concernant le fonctionnement du « Sistema de información BOSCO ».

L’AEPD a mené l’enquête et a constaté:
* Décisions purement automatisées (article 22 du RGPD) : Le système BOSCO est conçu pour évaluer les demandes et retourner un résultat (par exemple, « CUMPLE-Consumidor vulnerable » ou « NO CUMPLE »). L’AEPD a établi que le BOSCO prend des décisions basées uniquement sur le traitement automatisé des données fournies et consultées. Ces décisions, qui déterminent l’octroi ou le rejet du « Bono Social », produisent des effets juridiques ou affectent significativement les demandeurs. Bien que le MTERD ait soutenu qu’une intervention humaine était présente, notamment de la part des Commercialisateurs de Référence (COR) ou lors des réclamations, l’AEPD a considéré que cette intervention n’était pas suffisante ou significative au sens de l’article 22.3 du RGPD. L’intervention des COR consiste principalement à saisir les données et à communiquer le résultat du système, sans pouvoir modifier la décision. L’examen lors des réclamations intervient après la décision automatisée et n’offre pas la garantie de réévaluer la décision de manière complète.

*Non-réalisation d’une AIPD (article 35 du RGPD) : Le MTERD n’avait pas réalisé d’EIPD préalable pour le traitement des demandes du « Bono Social » via le système BOSCO. L’AEPD a souligné que ce traitement, impliquant un nombre élevé de demandes, l’accès et la consultation de multiples bases de données de différents responsables, et le traitement de catégories spéciales de données (telles que la santé, le handicap, la situation sociale, le statut de victime de violence ou de terrorisme, etc.), présente un risque élevé pour les droits et libertés des personnes physiques, rendant l’EIPD obligatoire conformément à l’article 35 du RGPD. Le MTERD a par la suite reconnu la nécessité d’une EIPD.

* Manque d’information sur les décisions automatisées (article 13 du RGPD) : L’AEPD a constaté que le modèle de demande du « Bono Social » ne faisait aucune référence à l’existence de décisions individuelles automatisées prises pendant le traitement de la demande par le système BOSCO. Cette absence d’information spécifique sur la logique appliquée, l’importance et les conséquences de ce traitement automatisé constitue un manquement à l’obligation de transparence de l’article 13 du RGPD.

En conséquence, le MTERD a reçu une réprimande de la part de l’autorité espagnole. Aucune amende n’a en revanche été prononcée: le droit espagnol ne permet pas la sanction des administrations en raison de lacunes dans le traitement des données (selon l’article 77 de la Ley Orgánica 3/2018). Le Ministère devra améliorer ses pratiques en informer les personnes, réalisant une AIPD et obtenir une intervention humaine, et justifier de la prise de ces mesures auprès de l’autorité.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

WhatsApp au travail (avec un numéro personnel d’un employé) : 2 000 euros d’amende prononcés en Espagne

L’autorité espagnole de protection des données (AEPD) a sanctionné la société SERVICIOS DE INTEGRACIÓN DE ANDALUCÍA (SIA) à une amende de 1200 euros suite à un traitement illicite de données personnelles, notamment l’utilisation du numéro de téléphone personnel d’un employé via l’application WhatsApp sans base légale appropriée. L’affaire a débuté par une réclamation déposée le 6 mars 2024 par un ancien employé. Le plaignant, engagé comme téléopérateur en télétravail, a rapporté avoir été inclus par l’entreprise dans un groupe WhatsApp pour recevoir des communications internes de travail. Selon lui, l’entreprise n’a pas sollicité son consentement pour cette inclusion et ne lui a pas fourni de téléphone professionnel. Il se plaignait également d’un volume excessif de notifications et d’appels liés au travail en dehors de ses heures, ce qui aurait provoqué une maladie. Le plaignant a fourni des captures d’écran du groupe WhatsApp montrant des conversations mélangeant des sujets d’organisation du travail et des questions plus personnelles, ainsi que son contrat de travail et des échanges de courriels.

L’enquête menée par l’AEPD a permis de confirmer les faits:
* Absence de base légale (article 6 du RGPD): la société n’a pas apporté la preuve des clauses ou autorisations par lesquelles le plaignant aurait consenti à ce traitement. De plus, l’AEPD a rappelé que le consentement peut ne pas être librement donné dans un contexte de déséquilibre de pouvoir comme la relation de travail. L’utilisation de données de contact personnelles et leur partage avec des collègues comme moyen « nécessaire » à la relation contractuelle ne peut pas être fondée sur le consentement, car l’employé ne bénéficierait pas d’une véritable liberté de choix. L’entreprise ayant admis l’existence d’une alternative (par courriel), même si elle prétend qu’elle était moins immédiate, l’AEPD en a déduit que l’utilisation du numéro personnel sur WhatsApp n’était pas « nécessaire » et que des moyens moins intrusifs auraient pu être utilisés par défaut. Le traitement du téléphone particulier ne peut pas être justifié par la nécessité d’exécution d’un contrat (article 6.1.b RGPD). Bien qu’il puisse potentiellement se baser sur l’intérêt légitime (article 6.1.f RGPD), l’employeur doit justifier la « nécessité » de cette utilisation, ce que SIA n’a pas fait de manière adéquate. Elle a ainsi retenu l’absence de base légale.

En conséquence, l’entreprise a été condamnée à l’amende précitée, réduite à 1 200 euros dans le cadre des procédures de paiement volontaire et de reconnaissance de responsabilité. Elle devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Espagne : sanction pour traitement illicite de données (biométrie, copie ID) lors du check-in en ligne

L’Agence espagnole de protection des données (AEPD) a, ce vendredi, publié une décision de sanction concernant les pratiques de collecte de données d’une entreprise d’hébergement touristique, ULPIA TRAJANA ALAMEDA S.L. (NIF B90468273), suite à une réclamation reçue par l’autorité. Comme très souvent, l’affaire trouve son origine dans la plainte d’un client concernant la procédure de check-in effectuée via l’application mobile APLICACIÓN.1. Selon le plaignant, cette procédure exigeait la fourniture de données excessives, notamment une copie des deux côtés du document d’identité et une photographie faciale pour identification biométrique. Le client a estimé que ces exigences violaient le principe de minimisation des données du RGPD.

L’enquête menée par l’AEPD a révélé que:
* Co-responsabilité du traitement (article 26 du RGPD): ULPIA TRAJANA ALAMEDA S.L. et le fournisseur de l’application, EMPRESA.1, sont considérés comme des corresponsables du traitement pour les opérations effectuées via l’application.
* Minimisation des données (article 5 du RGPD): L’exigence de la copie intégrale du document d’identité et de la photographie faciale pour vérification biométrique allait au-delà des données strictement nécessaires pour la déclaration obligatoire des voyageurs aux forces de sécurité, telle que requise par la législation espagnole (LO 4/2015 et RD 933/2021). Cela constitue une violation du principe de minimisation des données (Article 5.1.c du RGPD).
* Traitement de données sensibles (article 9 du RGPD):  En plus d’estimer que le principe de minimisation a été violé, l’AEPD ajoute que le traitement de la photographie faciale par des moyens techniques spécifiques dans le but de comparer l’image de la personne effectuant le check-in avec celle du document d’identité (vérification biométrique) constitue un traitement de données sensibles, qui n’a pas de base légale.

L’AEPD a relevé d’autres points problématiques, comme le fait que le courriel de bienvenue renvoyait initialement vers une vidéo YouTube au lieu de fournir directement l’information sur la protection des données, mais s’est moins attardé sur ceux-ci. ULPIA TRAJANA ALAMEDA S.L. a reconnu sa responsabilité et a procédé au paiement volontaire de l’amende. L’AEPD avait proposé une amende initiale de 2 500 euros, celle-ci ayant été réduite à 1 500€ une fois les réductions appliquées.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Diffusion de données médicales sur Facebook : un particulier condamné à 10 000 euros d’amende

L’autorité espagnole a, ce vendredi, publié une décision de sanction à l’encontre d’un particulier pour avoir diffusé sans base légale des données personnelles, y compris des données de santé, sur le réseau social Facebook. Celui-ci a été condamné à payer une amende de 10 000 euros [une somme relativement élevée pour un particulier]. L’affaire a débuté le 27/11/2022 avec une réclamation déposée auprès de l’AEPD par A.A.A. contre B.B.B.. La plaignante alléguait que B.B.B. avait publié ses données personnelles (numéro de DNI, numéro de téléphone, adresse) ainsi qu’une photographie d’elle sur son profil Facebook. Selon la plaignante, cette publication visait à la diffamer comme auteur d’un « délit de racisme » et incluait notamment des parties médicales la concernant. Ces documents médicaux contenaient des informations personnelles complètes, incluant l’adresse professionnelle, le DNI et le numéro de téléphone de la plaignante.

L’enquête menée par l’AEPD a permis de confirmer les faits et de les qualifier:
• Absence de base légale (article 6 RGPD) : La publication de l’image, des données identitaires et des données de santé de la plaignante sur Facebook est un traitement de données personnelles. En l’occurrence, celui-ci a été réalisé en l’absence de base légale.
* Traitement de données sensibles (article 9 RGPD) : La publication des parties médicales de la plaignante constitue un traitement de données de santé. Les données de santé sont des catégories spéciales de données dont le traitement est en principe interdit. Aucune des exceptions prévues à l’article 9.2 du RGPD n’a été justifiée par B.B.B. ni constatée par l’Agence.

En conséquence, B.B.B. a été condamné à payer une amende totale de 10 000 euros, et devra apporter la preuve de la suppression de la publication litigieuse le jour suivant la sanction.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.