Espagne

En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le fait que la mère de B.B.B., autorisée sur deux de ses comptes, avait également accès aux informations du troisième compte, co-détenu par B.B.B et C.C.C , ainsi qu’aux produits associés, sans le consentement de ce dernier. CAIXABANK a initialement reconnu une « incidence technique » avant de plaider que l’accès était consenti dans le cadre d’un compte solidaire, argument rejeté par l’AEPD.

L’enquête menée par l’AEPD a conduit aux constations suivantes :
* Intégralité et confidentialité (articles 5 et 32 du RGPD): CAIXABANK n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, et notamment une gestion des accès suffisamment fine, ce qui a permis à une personne non autorisée d’accéder à des informations bancaires. L’AEPD considère en effet que les mesures de sécurité adoptées par CAIXABANK n’étaient pas adaptées au risque présenté par le traitement des données personnelles dans le contexte de l’accès via la banque en ligne.
* Privacy by design & by default (article 25 du RGPD): la banque n’a pas intégré les principes de protection des données dans la conception et dans la configuration de son service de banque en ligne, ce qui a facilité l’accès non autorisé.

En conséquence, Caixa Bank a été condamnée à une amende totale de 3,5 millions d’euros, dont 3 millions en raison du manquement à l’article 25. L’entreprise, qui a la possibilité de procéder au paiement volontaire et/ou de reconnaitre sa responsabilité pour clore la procédure et réduire le montant de l’amende (jusqu’à 40%), devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Une commune condamnée pour absence de désignation d’un DPO mais pas d’amende à la clef

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre du « Conseil municipal de Lardero » pour ne pas avoir désigné et notifié son Délégué à la Protection des Données (DPD) à l’autorité de contrôle, en violation de l’article 37 du RGPD. Cette décision fait suite à une réclamation déposée par A.A.A., en date du 28 décembre 2022 , signalant qu’elle ignorait qui exerçait les fonctions de DPD de l’AYUNTAMIENTO DE LARDERO et si l’AEPD avait été informée de sa désignation.

L’enquête menée par l’autorité a révélé que malgré l’obligation légale pour les organismes publics (article 37 du RGPD), la commune n’avait pas notifié la désignation de son DPD à l’AEPD jusqu’au 18 avril 2023, soit postérieurement à la réclamation initiale et à la constatation par l’Agence de l’absence de notification.

En conséquence, et malgré la déclaration tardive, l’AEPD a condamné l’organisme et a publié la sanction, sans toutefois prononcer d’amende.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

BeeDigital condamné pour traitement excessif de données liées à l’équivalent espagnol du « Bloctel » des emails commerciaux

L’autorité espagnole a aujourd’hui annoncé avoir prononcé une amende de 150 000 euros à l’encontre de la société BeeDigital pour un manquement en matière de minimisation des données. Comme souvent, cette affaire débute avec une plainte: en l’occurrence, d’un plaignant qui a a découvert que BeeDigital détenait ses données personnelles (nom, prénom, NIF, téléphone, email), alors qu’il n’avait jamais été client de cette entreprise. Selon BeeDigital, ces données provenaient de la Liste Robinson, un service permettant aux citoyens de signaler qu’ils ne souhaitent pas recevoir de publicités. Le plaignant s’interroge sur la légitimité de la conservation de ses informations personnelles, puisqu’il ne s’attendait pas à être enregistré dans les bases de données d’une entreprise privée après s’être inscrit sur la Liste Robinson.

L’enquête menée par l’AEPD a permis de constater:
* Minimisation des données (article 5 du RGPD): BeeDigital a conservé plus d’informations que nécessaire sur les personnes inscrites à la Liste Robinson (équivalent du Bloctel). Le traitement des NIF, noms et prénoms n’était pas justifié pour l’unique finalité de filtrer les communications commerciales.
* Sécurité et intégrité des données (articles 5 et 32 du RGPD): Au cours de la procédure, une violation de données a exposé 17 000 utilisateurs en raison d’un accès non autorisé à ses systèmes. L’enteprise n’a pas mis en place des mesures de protection suffisantes pour empêcher la fuite, et notamment des mesures de chiffrement ou encore de pseudonymisation.

L’AEPD note également que l’entreprise a l’entreprise a tardé à notifier la violation de données à l’AEPD et aux personnes concernées, mais n’a pas retenu ces faits comme une infraction dans la mesure où ils étaient prescrits au moment de la sanction. L’entreprise écopera tout de même d’une amende totale de 150 000 euros, et devra améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Violation de données de santé : une fondation scientifique condamnée à une amende de 42 000 euros

L’autorité espagnole a, ce vendredi, publié une décision de sanction à l’encontre de la « Fondation de la société scientifique d’oncologie médicale » (FSOM) en raison d’un manquement en matière de sécurité ayant abouti à une violation. L’affaire a débuté par une notification de violation de données soumise à l’AEPD par FSOM le 23 juin 2023. La violation, survenue le 14 juin 2023, était due à un accès externe non autorisé aux systèmes d’un prestataire et sous-traitant de données pour une étude menée par FSOM. Les données compromises comprenaient les coordonnées (adresses e-mail et numéros de téléphone) et des informations relatives à la santé de 2622 personnes.

L’enquête menée par l’autorité a permis de constater que:
* Mesures techniques et organisationnelles (articles 5 et 32 du RGPD): Bien qu’un contrat de traitement des données existe entre FSOM et son prestataire, le manque de mesures techniques et organisationnelles appropriées de la part du sous-traitant avait facilité la violation. L’AEPD a notamment relevé que le sous traitant n’a pas mis en œuvre les meilleures pratiques de sécurité recommandées concernant l’utilisation de rôles au lieu de jetons pour accéder aux ressources.

L’AEPD a considéré que FSOM, en tant que responsable du traitement, était responsable de la sécurité des données traitées, et l’a ainsi condamnée à une de 70 000 euros, ramenée à 42 000 euros dans le cadre des procédures de paiement volontaire et de reconnaissance de responsabilité.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Un particulier condamné pour avoir publié des données personnelles sur Facebook de manière illicite

L’autorité Espagnole a aujourd’hui sanctionné un particulier en raison d’une publication Facebook qui a été observée comme un traitement de données illicite. Cette affaire comme avec une plainte a été déposée contre A.A.A. par B.B.B. concernant la publication non autorisée de données personnelles sur Facebook. L’auteur de la plainte explique avoir déposé une dénonciation contre une municipalité auprès de la Junta Electoral concernant un possible acte électoral illégal. Cette plainte a été classée sans suite, et l’autorité compétente a rendu une décision qui a été communiquée aux parties concernées. Le même jour, la personne mise en cause (A.A.A.) a publié sur son profil Facebook une capture de la décision, où le nom et prénom du plaignant étaient visibles, exposant ainsi ses données personnelles sans son consentement.

L’enquête de l’autorité a permis de confirmer les faits, mais également de les qualifier:
* Absence de base légale (article 6 du RGPD): La publication des données personnelles de A.A.A. n’a pas de base légale valable au regard du RGPD. En outre, l’autorité note que l’accès au document n’était pas public, et que l’accusé de réception officiel n’avait pas été adressé directement à A.A.A.. L’AEPD a considéré que A.A.A. avait abusé de sa position pour obtenir et publier ces informations, ce qui aggrave la violation du RGPD.  L’autorité a également considéré le caractère intentionnel de l’exposition des données personnelles.

En conséquence, l’auteur de la publication a été condamné à une amende de 500 euros, réduite à 300 dans le cadre des procédures de paiement volontaire et de reconnaissance de responsabilité.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Vidéosurveillance: une entreprise sanctionnée à 4000 euros d’amende en Espagne pour des angles de vue trop larges

L’autorité espagnole (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société SNOW INK SIERRA NEVADA, S.L., lui infligeant une amende de 4000 euros en raison de lacunes liées à la gestion de la vidéosurveillance.   L’affaire a débuté par une réclamation concernant l’orientation de caméras de vidéosurveillance installées sur la façade de l’établissement de la société, captant excessivement la voie publique. L’enquête menée par l’autorité en réponse à cette réclamation a permis de constater:

* Minimisation des données (article 5 du RGPD) : les caméras de vidéosurveillance de l’entreprise étaient orientées de manière à capter une portion excessive de la voie publique, y compris les véhicules stationnés et les passants. L’autorité a précisé que l’enregistrement de l’espace public par des caméras de sécurité n’est autorisé que si cela est indispensable et doit se limiter à la portion minimale nécessaire pour préserver la sécurité des personnes et des biens. Par ailleurs, le fait que l’entreprise de sécurité engagée par SNOW INK soit à l’origine de cette erreur ne retire pas sa responsabilité.

En conséquence, l’AEPD a imposé une amende de 4000 euros à SNOW INK SIERRA NEVADA, S.L. De plus, l’autorité ordonne à la société de procéder, dans un délai d’un mois, au retrait ou à la réorientation des caméras de vidéosurveillance de manière à ce qu’elles ne captent plus la voie publique, et d’en apporter la preuve à l’autorité espagnole.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Iberia Cards condamné pour avoir refusé d’accorder les bonus « nouveau client » à une personne ayant précédemment exercé son droit à l’effacement

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre d’Iberia Cards en raison de traitements jugés illicites. Comme souvent, cette affaire commence par une réclamation déposée près qu’Iberia Cards ait refusé d’appliquer une promotion de nouveau client à un ancien client en se basant sur des données qui auraient dû être supprimées et bloquées. Le réclamant avait initialement annulé sa carte Iberia Cards et obtenu la confirmation de la suppression et du blocage de ses données le 28 novembre 2022. Cependant, lors d’une nouvelle demande de carte le 31 octobre 2023, Iberia Cards lui a informé qu’il ne pourrait pas bénéficier de la promotion pour nouveaux clients, car il était déjà client.

L’enquête de l’AEPD a permis de constater:
* Licéité (article 6 du RGPD): Iberia Cards a nécessairement traité illégalement les données personnelles du réclamant après leur prétendue suppression et blocage (tel que prévu par le droit espagnol). En outre, ce traitement a été effectué non pas pour répondre à une requête des autorités ou pour l’exercice de droits liés à un litige potentiel découlant du traitement initial (raisons pour lesquelles le données auraient pu être archivées), mais pour déterminer l’éligibilité à une offre commerciale pour un nouveau contrat.

En conséquence, la société a été condamnée à une amende de 20 000 euros, réduite à 16 000 euros dans le cadre du paiement volontaire de la sanction. Elle devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

En Espagne, une chaîne hôtelière échappe à la sanction grâce aux délais de prescriptions locaux

L’AEPD a aujourd’hui publié une décision d’archivage d’un dossier en raison du dépassement du délai de prescription des frais reprochés, celui-ci étant de 3 ans en Espagne.  La réclamation initiale a été déposée auprès de l’autorité allemande de protection des données de Bavière en avril 2021 par A.A.A., qui s’était logé dans un hôtel NH et avait demandé l’accès à ses données personnelles en décembre 2020 via l’adresse e-mail dpo@nh-hotels.com : cet accès ne lui avait jamais été accordé.

La réclamation a été transmise à l’AEPD via le Système d’Information du Marché Intérieur (IMI – mis en place en application d’un règlement visant à promouvoir la coopération administrative transfrontalière) et enregistrée en janvier 2022. L’AEPD était considérée comme l’autorité de contrôle principale, NH HOTEL GROUP ayant son établissement principal en Espagne. Plusieurs autres autorités européennes de protection des données étaient considérées comme des autorités de contrôle intéressées en raison du caractère transfrontalier du traitement des données. NH HOTEL GROUP a expliqué que la demande d’accès de A.A.A. avait été reçue dans le dossier de courrier indésirable (Spam) de l’adresse e-mail du Délégué à la Protection des Données (DPD), raison pour laquelle aucune réponse n’a été fournie.

L’AEPD a considéré que le retard dans la réponse à la demande d’accès de A.A.A. pourrait constituer une infraction à l’article 15 du RGPD. Néanmoins, Étant donné que la demande de A.A.A. datait de décembre 2020 et que la résolution est de 2024, l’AEPD a conclu que le délai de prescription de l’infraction, fixé par la loi locale a 3 ans, était dépassé. Elle a ainsi classé l’affaire et a notifié les autorités concernées.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Un établissement d’hébergement touristique pour avoir systématiquement demandé la carte d’identité complète des clients

L’autorité espagnole a publié aujourd’hui une décision de sanction à l’encontre de la société RESIDENTIAL QUALITY ENJOY, S.L. pour avoir enfreint le principe de minimisation des données en exigeant la copie des cartes d’identité de ses clients. Comme souvent, l’affaire a débuté par une réclamation d’un client qui avait loué un appartement touristique et à qui il avait été demandé, via WhatsApp, d’envoyer une image des DNI de tous les occupants, y compris d’un mineur, sans aucune information sur le traitement de ces données ni recueil de consentement.

L’enquête ouverte par l’AEPD a permis de constater:
* Principe de minimisation (article 5 du RGPD): la demande de copie intégrale des DNI excédait les données nécessaires pour la communication des informations des hôtes aux forces de sécurité, telle que prévue par les lois locales. La collecte de la photographie, du numéro d’équipe d’expédition ou des noms des parents, présents sur le DNI mais non requis, est considérée comme contraire au principe de minimisation des données.

En conséquence, l’établissement a été condamné à une amende de 2 000 euros, réduite à 1 200 euros dans le cadre d’une procédure de reconnaissance de responsabilité et de paiement volontaire de l’amende.  Il devra également améliorer ses pratiques et devra en justifier auprès de l’autorité dans un délai de 2 mois.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Cookies: l’AEPD sanctionne une société éditrice d’un site internet à une amende de 1 600 euros

L’AEPD nous rappelle aujourd’hui que le sujet « cookies » n’est pas clos en publiant aujourd’hui une décision de sanction à l’encontre de MAXPOWER FITNESS NUTRITION, S.L., titulaire de la page web nutrisano.es/, pour des manquements en la maitère. Comme souvent, la procédure a été initiée suite à une réclamation déposée le 26 septembre 2023 concernant le non-respect par le site web des exigences de la Loi 34/2002, du 11 juillet, sur les services de la société de l’information et le commerce électronique (LSSI), en particulier en ce qui concerne la « Politique de Cookies ».

L’enquête menée par l’autorité a révélé que le site web utilisait des cookies avant d’obtenir le consentement de l’utilisateur, que la possibilité de refuser ou de gérer les cookies de manière granulaire était limitée, et que la modification du consentement pendant la navigation n’était pas possible. Plus précisément, lors d’une vérification le 23 mai 2024, il a été constaté qu’en entrant sur le site web pour la première fois, plusieurs cookies étaient utilisés sans consentement, y compris des cookies potentiellement non techniques comme « _tracking_consent » et « Popup-ookie ». Le bandeau d’information sur les cookies ne fournissait pas d’informations complètes, et le rejet des cookies ne désactivait pas ceux déjà installés. De plus, il n’était pas possible de modifier facilement le consentement une fois donné. La « Politique de Cookies » accessible depuis le bas de page était incomplète.

En conséquence, l’AEPD a initié une procédure de sanction à l’encontre de la société, et, malgré des améliorations réalisées en cours de procédure (sans pour autant que ce soit satisfaisant), l’a condamnée à une amende de 2 000 euros, finalement réduite à 1 600 euros pour paiement volontaire.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.