Europe

Comité européen sur la protection des données (EDPB)

L’EDPB publie un document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes pour les responsables du traitement et les sous-traitants

L’EPDB a aujourd’hui publié une mise à jour de son document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes (généralement appelées BCRs) pour les responsables du traitement et les sous-traitants. Celui-ci a pour objectif de définir une procédure d’approbation des « règles d’entreprise contraignantes » pour les responsables du traitement et les sous-traitants en vertu du RGPD.  Quelle est l’autorité compétente pour approuver les BCRs ? Quelle est la procédure à suivre ? Comment assurer la cohérence d’une autorité à une autre ? Ce document devrait répondre à toutes vos questions sur le sujet !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

La Poste polonaise sanctionnée à 6,5M d’euros d’amende pour avoir traité illégalement le NIR de 80% des habitants du pays 

Le Président de l’UODO, Mirosław Wróblewski, a annoncé avoir imposé des amendes administratives de 27 millions de PLN (soit environ 6,5 millions d’euros) à la Poste Polonaise et de 100 000 PLN (soit environ 24 000 euros) au Ministre de la Cybersécurité pour le traitement sans base légale des données de 30 millions de citoyens issues de la base PESEL (le « NIR » polonais) lors de l’organisation des soi-disant élections par correspondance en avril et mai 2020. Sont, plus précisément, concernés: le numéro PESEL, les prénoms, noms, le dernier domicile enregistré pour résidence permanente (et en l’absence de celui-ci : le dernier qui n’est plus valide), l’adresse de résidence temporaire (avec la date déclarée de ce séjour) ainsi que le départ temporaire actuellement enregistré à l’étranger.

Un peu plus de contexte : en plein COVID-19, les autorités ont commencé à organiser le processus électoral par voie postale, bien qu’une loi modifiant les règles des élections ne soit pas encore entrée en vigueur. Cette loi, qui n’était pas en vigueur en avril 2020, prévoyait que la Poste Polonaise livrerait des paquets électoraux imprimés par l’Imprimerie Nationale à la boîte aux lettres des électeurs, et que les électeurs voteraient par correspondance afin d’éviter de se rassembler physiquement dans les bureaux de vote.

Le 16 avril 2020, le Président du Conseil des Ministres a ordonné par décision administrative à la Poste Polonaise de commencer les préparatifs pour les élections par correspondance du Président de la République. En se basant sur cette instruction, la Poste Polonaise a ensuite fait une demande le 20 avril 2020 pour obtenir les données de 30 millions de citoyens polonais issus de la base PESEL, qui étaient supposés être majeurs et résider en Pologne le jour prévu des élections. Le Ministre de la Cybersécurité a donné son accord et les données extraites sur un DVD ont été fournies (partagées) à la Poste Polonaise le 22 avril 2020 et y ont été traitées.

Les données personnelles d’environ 30 millions de citoyens polonais n’ont été détruites que du 15 au 22 mai 2020, déjà après qu’il est apparu que les élections prévues pour le 10 mai 2020 n’auraient pas lieu. Immédiatement après la révélation du partage par la Poste Polonaise des données personnelles issues de la base PESEL sans base légale, les citoyens ont commencé à déposer de nombreuses plaintes auprès du Président de l’Office de protection des données personnelles. M. Jan Nowak, alors Président de l’UODO, a néanmoins jugé ces plaintes infondées.

Des plaintes par la suite déposés devant le tribunal de Varsovie (WSA) ont abouti au jugement du 15 septembre 2020 (VII SA/Wa 992/20) que la décision contestée violait gravement la loi et avait également été prise sans base légale (art. 156 § 1 point 2 du code de procédure administrative). Ce jugement a été confirmé par la Cour administrative suprême par un jugement du 28 juin 2024 (III OSK 4524/21). Prenant acte de ces décisions, le le Président de l’UODO a ouvert d’office une procédure administrative pour évaluer les actions du Ministre de la Cybersécurité et de la Poste Polonaise en avril et mai 2020 en ce qui concerne la violation des dispositions du règlement général sur la protection des données (RGPD), ce qui a abouti à la présente décision.

Enfin, l’autorité note dans son article que l ‘amende imposée au Ministre de la Cybersécurité est le montant maximal prévu légalement pour les entités du secteur public en Pologne. Concernant l’amende pour la Poste Polonaise, selon le Président de l’UODO, son montant remplit la fonction punitive prévue par le RGPD et constitue une réaction adéquate et juste de l’autorité de contrôle face aux violations constatées, compte tenu notamment de la nature et du poids des infractions.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation

Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour estimer si celle-ci est mineure ou majeure et en informent le commerçant par un témoin lumineux (par exemple une lumière verte ou rouge). Le recours à ces dispositifs poursuit un double objectif d’intérêt public : la protection des plus jeunes et la préservation de la santé publique.

Toutefois, le fait que cette vérification s’effectue par le biais de traitements algorithmiques d’analyse automatisée d’images n’est pas anodin et peut comporter des risques pour la protection des données personnelles et pour la vie privée des personnes. Pour cette raison, la CNIL souhaite analyser la conformité de ces dispositifs au regard de la réglementation applicable en matière de protection des données personnelles (RGPD et loi Informatique et Libertés).

Disponible sur: CNIL.fr

AEPD (autorité espagnole)

En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le fait que la mère de B.B.B., autorisée sur deux de ses comptes, avait également accès aux informations du troisième compte, co-détenu par B.B.B et C.C.C , ainsi qu’aux produits associés, sans le consentement de ce dernier. CAIXABANK a initialement reconnu une « incidence technique » avant de plaider que l’accès était consenti dans le cadre d’un compte solidaire, argument rejeté par l’AEPD.

L’enquête menée par l’AEPD a conduit aux constations suivantes :
* Intégralité et confidentialité (articles 5 et 32 du RGPD): CAIXABANK n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, et notamment une gestion des accès suffisamment fine, ce qui a permis à une personne non autorisée d’accéder à des informations bancaires. L’AEPD considère en effet que les mesures de sécurité adoptées par CAIXABANK n’étaient pas adaptées au risque présenté par le traitement des données personnelles dans le contexte de l’accès via la banque en ligne.
* Privacy by design & by default (article 25 du RGPD): la banque n’a pas intégré les principes de protection des données dans la conception et dans la configuration de son service de banque en ligne, ce qui a facilité l’accès non autorisé.

En conséquence, Caixa Bank a été condamnée à une amende totale de 3,5 millions d’euros, dont 3 millions en raison du manquement à l’article 25. L’entreprise, qui a la possibilité de procéder au paiement volontaire et/ou de reconnaitre sa responsabilité pour clore la procédure et réduire le montant de l’amende (jusqu’à 40%), devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

AEPD (autorité espagnole)

Une commune condamnée pour absence de désignation d’un DPO mais pas d’amende à la clef

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre du « Conseil municipal de Lardero » pour ne pas avoir désigné et notifié son Délégué à la Protection des Données (DPD) à l’autorité de contrôle, en violation de l’article 37 du RGPD. Cette décision fait suite à une réclamation déposée par A.A.A., en date du 28 décembre 2022 , signalant qu’elle ignorait qui exerçait les fonctions de DPD de l’AYUNTAMIENTO DE LARDERO et si l’AEPD avait été informée de sa désignation.

L’enquête menée par l’autorité a révélé que malgré l’obligation légale pour les organismes publics (article 37 du RGPD), la commune n’avait pas notifié la désignation de son DPD à l’AEPD jusqu’au 18 avril 2023, soit postérieurement à la réclamation initiale et à la constatation par l’Agence de l’absence de notification.

En conséquence, et malgré la déclaration tardive, l’AEPD a condamné l’organisme et a publié la sanction, sans toutefois prononcer d’amende.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

UODO (autorité polonaise)

L’UODO rappelle au procureur qu’il ne peut pas traiter les données des patientes de la gynécologue de Szczecin sans base légale

En lien avec l’affaire de la gynécologue de Szczecin [qui est accusée d’avoir d’avoir aidé ses patientes à avorter en vendant des pilules abortives, ce qui est passible de trois ans de prison dans le pays pour le médecin mais pas pour la femme], dans laquelle le procureur a saisi en 2023 la documentation médicale de près de 6000 de ses patientes, le Président de l’UODO rappelle dans une lettre adressée au Procureur Général les règles concernant le traitement des données personnelles nécessitant une protection renforcée.

« Je voudrais vous demander, Monsieur le Procureur, d’attirer l’attention des responsables des unités organisationnelles communes du parquet subordonnées au Procureur national sur le fait que, à la lumière des dispositions légales applicables, le traitement sans base légale de données personnelles, en particulier de données soumises à une protection renforcée, y compris des données sur l’état de santé, est inadmissible », écrit le président de l’UODO Mirosław Wróblewski au procureur Dariusz Korneluk.

Cette déclaration est liée aux actions du procureur régional de Szczecin, qui a saisi le 9 janvier 2023 l’ensemble de la documentation médicale des patientes sous la garde du médecin, alors que la procédure ne concernait qu’une seule patiente. Le parquet a transmis au tribunal un acte d’accusation contre le médecin, basé sur les données trouvées dans ces dossiers. Cependant, le président de l’UODO rappelle que le traitement des données de toutes les patientes n’avait pas de base légale, et donc était illégal.

L’UODO rappelle également que les données concernant la santé – en tant que données nécessitant une protection particulière – sont protégées légalement tant par les dispositions relatives au traitement des données personnelles que par l’art. 47 de la Constitution de la République de Pologne. Or, en droit polonais aucune base légale ne permettait le traitement des données de toutes les patientes : par conséquent, toute opération sur les données personnelles contenues dans la documentation médicale saisie serait illégale.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

BeeDigital condamné pour traitement excessif de données liées à l’équivalent espagnol du « Bloctel » des emails commerciaux

L’autorité espagnole a aujourd’hui annoncé avoir prononcé une amende de 150 000 euros à l’encontre de la société BeeDigital pour un manquement en matière de minimisation des données. Comme souvent, cette affaire débute avec une plainte: en l’occurrence, d’un plaignant qui a a découvert que BeeDigital détenait ses données personnelles (nom, prénom, NIF, téléphone, email), alors qu’il n’avait jamais été client de cette entreprise. Selon BeeDigital, ces données provenaient de la Liste Robinson, un service permettant aux citoyens de signaler qu’ils ne souhaitent pas recevoir de publicités. Le plaignant s’interroge sur la légitimité de la conservation de ses informations personnelles, puisqu’il ne s’attendait pas à être enregistré dans les bases de données d’une entreprise privée après s’être inscrit sur la Liste Robinson.

L’enquête menée par l’AEPD a permis de constater:
* Minimisation des données (article 5 du RGPD): BeeDigital a conservé plus d’informations que nécessaire sur les personnes inscrites à la Liste Robinson (équivalent du Bloctel). Le traitement des NIF, noms et prénoms n’était pas justifié pour l’unique finalité de filtrer les communications commerciales.
* Sécurité et intégrité des données (articles 5 et 32 du RGPD): Au cours de la procédure, une violation de données a exposé 17 000 utilisateurs en raison d’un accès non autorisé à ses systèmes. L’enteprise n’a pas mis en place des mesures de protection suffisantes pour empêcher la fuite, et notamment des mesures de chiffrement ou encore de pseudonymisation.

L’AEPD note également que l’entreprise a l’entreprise a tardé à notifier la violation de données à l’AEPD et aux personnes concernées, mais n’a pas retenu ces faits comme une infraction dans la mesure où ils étaient prescrits au moment de la sanction. L’entreprise écopera tout de même d’une amende totale de 150 000 euros, et devra améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Tietosuoja (autorité finlandaise)

L’autorité finlandaise commence à enquêter sur le transfert de données de l’Université d’Helsinki vers une entreprise chinoise de biotechnologie

L’autorité finlandaise a annoncé aujourd’hui avoir demandé à l’Université d’Helsinki des informations sur la manière dont elle a mis en œuvre l’envoi des données liées aux échantillons de recherche d’origine humaine à une entreprise chinoise.  En effet, selon une information publiée par Yle le 11 mars, l’Université d’Helsinki a acheté des services d’analyse génétique auprès du groupe BGI, une entreprise chinoise de biotechnologie. Le bureau du Commissaire à la protection des données va enquêter pour savoir si les transferts de données personnelles ont respecté les réglementations sur la protection des données.

L’autorité note qu’aucune décision d’adéquation en matière de protection des données n’a été prise pour la Chine, et la Commission n’a pas encore examiné le niveau de protection des données en Chine. Dans une telle situation, l’entité qui transfère les données peut évaluer s’il est possible de transférer les données sur une autre base et quelles mesures de protection sont nécessaires pour ces transferts.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

ALPHA BANK sanctionnée à 3 000 euros d’amende pour une violation de la sécurité des données due au maintien erroné des droits d’accès d’un ancien administrateur

L’Autorité hellénique de protection des données personnelles a, ce vendredi, publié une décision condamnant la société «ALPHA BANK » à une amende en raison de lacunes en matière de sécurité des données, ce qui a abouti à une violation.  Cette sanction fait suite à une notification d’une violation indiquant qu’un employé avait accédé sans autorisation à des données personnelles en raison du maintien par inadvertance de son rôle d’administrateur système après avoir été muté à un autre service (Direction de la Cybersécurité) en 2015. Cette faille de sécurité a entraîné une violation de la confidentialité des données de 6 176 employés de la banque.

L’enquête menée par l’autorité a permis de constater:
* Sécurité et intégrité des données (articles 5 et 32 du RGPD): l’absence d’application des politiques de sécurité internes et maintien des droits d’accès élevés de l’employé malgré sa mutation ont permis la violation. En particulier, cela lui a permis d’envoyer 116 messages contenant des informations obtenues illégalement à 8 autres employés, incluant des données personnelles sensibles telles que les salaires, les évaluations, l’état civil et des données de santé (pourcentage d’invalidité).

En conséquence, l’autorité a condamné ALPHA BANK à une amende de 3 000 euros, et lui a ordonné d’améliorer ses pratiques.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Une entreprise condamnée à une amende de 45 000 euros pour l’envoi de SMS non sollicités et le manque de coopération

L’Autorité hellénique de protection des données personnelles a, ce vendredi, publié une décision condamnant «ΑΝΟΙΞΙΣ» (ANOIXIS) à une amende de 45 000 euros en raison de l’envoi de SMS non sollicités et de son manque de coopération. Les 15 plaignants ont signalé avoir reçu des SMS promouvant les services d’ANOIXIS, tels que «ANOIXIS ΓΡΑΦΕΙΟ ΓΝΩΡΙΜΙΩΝ…», alors même qu’elles n’ont eu aucune relation commerciale ou autre avec l’entreprise et n’avoir jamais donné leur consentement explicite pour recevoir de tels messages.  L’autorité note que ce n’est pas la première affaire contre cette entreprise : lors de trente-six plaintes précédentes qui avaient abouti à une amende de 54 000 euros pour ANOIXIS dans la décision 16/2022, suite à laquelle aucune mesure de mise en conformité n’a été prise.

L’enquête menée par l’autorité:
* a permis d’identifier que les SMS étaient envoyés depuis un numéro de téléphone appartenant à une personne nommée A, déjà connue dans le cadre de la décision antérieure. Les investigations ont également confirmé que A exploite une entreprise individuelle nommée ‘Anoixis’ à Larissa.
* a souligné le manque total de coopération d’ANOIXIS (article 31 du RGPD), qui n’a répondu à aucune des demandes d’informations concernant les plaintes et ne s’est pas présenté à l’audience à laquelle il avait été convoqué.

En conséquence, l’Autorité a infligé une amende de 45 000 euros et l’a transmise à l’adresse de l’entreprise, faute de pouvoir « mettre la main » sur le responsable de traitement physique.. De plus, l’Autorité a demandé à l’EETT (Commission hellénique des télécommunications et des postes) d’examiner l’exactitude des informations d’enregistrement du nom de domaine www.anoixisdate.gr et d’envisager sa suppression.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut