UE

L’EDPB publie un document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes pour les responsables du traitement et les sous-traitants

L’EPDB a aujourd’hui publié une mise à jour de son document établissant une procédure de coopération pour l’approbation des règles d’entreprise contraignantes (généralement appelées BCRs) pour les responsables du traitement et les sous-traitants. Celui-ci a pour objectif de définir une procédure d’approbation des « règles d’entreprise contraignantes » pour les responsables du traitement et les sous-traitants en vertu du RGPD.  Quelle est l’autorité compétente pour approuver les BCRs ? Quelle est la procédure à suivre ? Comment assurer la cohérence d’une autorité à une autre ? Ce document devrait répondre à toutes vos questions sur le sujet !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Poste polonaise sanctionnée à 6,5M d’euros d’amende pour avoir traité illégalement le NIR de 80% des habitants du pays 

Le Président de l’UODO, Mirosław Wróblewski, a annoncé avoir imposé des amendes administratives de 27 millions de PLN (soit environ 6,5 millions d’euros) à la Poste Polonaise et de 100 000 PLN (soit environ 24 000 euros) au Ministre de la Cybersécurité pour le traitement sans base légale des données de 30 millions de citoyens issues de la base PESEL (le « NIR » polonais) lors de l’organisation des soi-disant élections par correspondance en avril et mai 2020. Sont, plus précisément, concernés: le numéro PESEL, les prénoms, noms, le dernier domicile enregistré pour résidence permanente (et en l’absence de celui-ci : le dernier qui n’est plus valide), l’adresse de résidence temporaire (avec la date déclarée de ce séjour) ainsi que le départ temporaire actuellement enregistré à l’étranger.

Un peu plus de contexte : en plein COVID-19, les autorités ont commencé à organiser le processus électoral par voie postale, bien qu’une loi modifiant les règles des élections ne soit pas encore entrée en vigueur. Cette loi, qui n’était pas en vigueur en avril 2020, prévoyait que la Poste Polonaise livrerait des paquets électoraux imprimés par l’Imprimerie Nationale à la boîte aux lettres des électeurs, et que les électeurs voteraient par correspondance afin d’éviter de se rassembler physiquement dans les bureaux de vote.

Le 16 avril 2020, le Président du Conseil des Ministres a ordonné par décision administrative à la Poste Polonaise de commencer les préparatifs pour les élections par correspondance du Président de la République. En se basant sur cette instruction, la Poste Polonaise a ensuite fait une demande le 20 avril 2020 pour obtenir les données de 30 millions de citoyens polonais issus de la base PESEL, qui étaient supposés être majeurs et résider en Pologne le jour prévu des élections. Le Ministre de la Cybersécurité a donné son accord et les données extraites sur un DVD ont été fournies (partagées) à la Poste Polonaise le 22 avril 2020 et y ont été traitées.

Les données personnelles d’environ 30 millions de citoyens polonais n’ont été détruites que du 15 au 22 mai 2020, déjà après qu’il est apparu que les élections prévues pour le 10 mai 2020 n’auraient pas lieu. Immédiatement après la révélation du partage par la Poste Polonaise des données personnelles issues de la base PESEL sans base légale, les citoyens ont commencé à déposer de nombreuses plaintes auprès du Président de l’Office de protection des données personnelles. M. Jan Nowak, alors Président de l’UODO, a néanmoins jugé ces plaintes infondées.

Des plaintes par la suite déposés devant le tribunal de Varsovie (WSA) ont abouti au jugement du 15 septembre 2020 (VII SA/Wa 992/20) que la décision contestée violait gravement la loi et avait également été prise sans base légale (art. 156 § 1 point 2 du code de procédure administrative). Ce jugement a été confirmé par la Cour administrative suprême par un jugement du 28 juin 2024 (III OSK 4524/21). Prenant acte de ces décisions, le le Président de l’UODO a ouvert d’office une procédure administrative pour évaluer les actions du Ministre de la Cybersécurité et de la Poste Polonaise en avril et mai 2020 en ce qui concerne la violation des dispositions du règlement général sur la protection des données (RGPD), ce qui a abouti à la présente décision.

Enfin, l’autorité note dans son article que l ‘amende imposée au Ministre de la Cybersécurité est le montant maximal prévu légalement pour les entités du secteur public en Pologne. Concernant l’amende pour la Poste Polonaise, selon le Président de l’UODO, son montant remplit la fonction punitive prévue par le RGPD et constitue une réaction adéquate et juste de l’autorité de contrôle face aux violations constatées, compte tenu notamment de la nature et du poids des infractions.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’UODO rappelle au procureur qu’il ne peut pas traiter les données des patientes de la gynécologue de Szczecin sans base légale

En lien avec l’affaire de la gynécologue de Szczecin [qui est accusée d’avoir d’avoir aidé ses patientes à avorter en vendant des pilules abortives, ce qui est passible de trois ans de prison dans le pays pour le médecin mais pas pour la femme], dans laquelle le procureur a saisi en 2023 la documentation médicale de près de 6000 de ses patientes, le Président de l’UODO rappelle dans une lettre adressée au Procureur Général les règles concernant le traitement des données personnelles nécessitant une protection renforcée.

« Je voudrais vous demander, Monsieur le Procureur, d’attirer l’attention des responsables des unités organisationnelles communes du parquet subordonnées au Procureur national sur le fait que, à la lumière des dispositions légales applicables, le traitement sans base légale de données personnelles, en particulier de données soumises à une protection renforcée, y compris des données sur l’état de santé, est inadmissible », écrit le président de l’UODO Mirosław Wróblewski au procureur Dariusz Korneluk.

Cette déclaration est liée aux actions du procureur régional de Szczecin, qui a saisi le 9 janvier 2023 l’ensemble de la documentation médicale des patientes sous la garde du médecin, alors que la procédure ne concernait qu’une seule patiente. Le parquet a transmis au tribunal un acte d’accusation contre le médecin, basé sur les données trouvées dans ces dossiers. Cependant, le président de l’UODO rappelle que le traitement des données de toutes les patientes n’avait pas de base légale, et donc était illégal.

L’UODO rappelle également que les données concernant la santé – en tant que données nécessitant une protection particulière – sont protégées légalement tant par les dispositions relatives au traitement des données personnelles que par l’art. 47 de la Constitution de la République de Pologne. Or, en droit polonais aucune base légale ne permettait le traitement des données de toutes les patientes : par conséquent, toute opération sur les données personnelles contenues dans la documentation médicale saisie serait illégale.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ALPHA BANK sanctionnée à 3 000 euros d’amende pour une violation de la sécurité des données due au maintien erroné des droits d’accès d’un ancien administrateur

L’Autorité hellénique de protection des données personnelles a, ce vendredi, publié une décision condamnant la société «ALPHA BANK » à une amende en raison de lacunes en matière de sécurité des données, ce qui a abouti à une violation.  Cette sanction fait suite à une notification d’une violation indiquant qu’un employé avait accédé sans autorisation à des données personnelles en raison du maintien par inadvertance de son rôle d’administrateur système après avoir été muté à un autre service (Direction de la Cybersécurité) en 2015. Cette faille de sécurité a entraîné une violation de la confidentialité des données de 6 176 employés de la banque.

L’enquête menée par l’autorité a permis de constater:
* Sécurité et intégrité des données (articles 5 et 32 du RGPD): l’absence d’application des politiques de sécurité internes et maintien des droits d’accès élevés de l’employé malgré sa mutation ont permis la violation. En particulier, cela lui a permis d’envoyer 116 messages contenant des informations obtenues illégalement à 8 autres employés, incluant des données personnelles sensibles telles que les salaires, les évaluations, l’état civil et des données de santé (pourcentage d’invalidité).

En conséquence, l’autorité a condamné ALPHA BANK à une amende de 3 000 euros, et lui a ordonné d’améliorer ses pratiques.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Une entreprise condamnée à une amende de 45 000 euros pour l’envoi de SMS non sollicités et le manque de coopération

L’Autorité hellénique de protection des données personnelles a, ce vendredi, publié une décision condamnant «ΑΝΟΙΞΙΣ» (ANOIXIS) à une amende de 45 000 euros en raison de l’envoi de SMS non sollicités et de son manque de coopération. Les 15 plaignants ont signalé avoir reçu des SMS promouvant les services d’ANOIXIS, tels que «ANOIXIS ΓΡΑΦΕΙΟ ΓΝΩΡΙΜΙΩΝ…», alors même qu’elles n’ont eu aucune relation commerciale ou autre avec l’entreprise et n’avoir jamais donné leur consentement explicite pour recevoir de tels messages.  L’autorité note que ce n’est pas la première affaire contre cette entreprise : lors de trente-six plaintes précédentes qui avaient abouti à une amende de 54 000 euros pour ANOIXIS dans la décision 16/2022, suite à laquelle aucune mesure de mise en conformité n’a été prise.

L’enquête menée par l’autorité:
* a permis d’identifier que les SMS étaient envoyés depuis un numéro de téléphone appartenant à une personne nommée A, déjà connue dans le cadre de la décision antérieure. Les investigations ont également confirmé que A exploite une entreprise individuelle nommée ‘Anoixis’ à Larissa.
* a souligné le manque total de coopération d’ANOIXIS (article 31 du RGPD), qui n’a répondu à aucune des demandes d’informations concernant les plaintes et ne s’est pas présenté à l’audience à laquelle il avait été convoqué.

En conséquence, l’Autorité a infligé une amende de 45 000 euros et l’a transmise à l’adresse de l’entreprise, faute de pouvoir « mettre la main » sur le responsable de traitement physique.. De plus, l’Autorité a demandé à l’EETT (Commission hellénique des télécommunications et des postes) d’examiner l’exactitude des informations d’enregistrement du nom de domaine www.anoixisdate.gr et d’envisager sa suppression.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un sauna érotique reçoit un avertissement en raison des données traitées dans son livre d’or (mais pas que!)

La Chambre des litiges de l’Autorité belge de protection des données (GBA) a, ce vendredi, adressé un avertissement à un sauna érotique en raison de manquements en matière de licéité du traitement des données de son livre d’or. L’affaire commence par une plainte déposée en octobre 2019 par un riverain concernant l’installation de deux caméras de surveillance par M. Y, exploitant d’un sauna érotique, qui filmaient la voie publique. L’enquête menée par le service d’inspection de la GBA a non seulement examiné cette plainte, mais a également porté sur le traitement des données personnelles par M. Y sur le site web de son établissement, notamment sa déclaration de confidentialité et son livre d’or.

Dans sa décision, l’autorité mentionne:
* Si des violations potentielles de la loi sur les caméras en raison de l’absence temporaire de pictogramme signalant la surveillance, du manque d’informations sur le responsable du traitement sur le pictogramme présent, et du manque de définition claire des finalités et de la base légale du traitement, les caméras ont été désactivées très rapidement. Or, l’autorité indique ne pas être compétente pour ordonner le retrait de caméras inactives.
* Absence de registre des traitements (article 30 du RGPD): M. Y ne tenait pas de registre des activités de traitement;
* Information des personnes incomplètes (article 13 du RGPD):  La déclaration de confidentialité sur le site web ne mentionnait pas les bases juridiques du traitement.
* Base légale du traitement (article 6 du RGPD): Le traitement des données personnelles potentiellement révélatrices de l’orientation sexuelle des clients ne reposait sur aucune base légale ni exception au principe d’interdiction du traitement des catégories particulières de données;

En conséquence, M. Y a reçu un avertissement de la part de la GBA, et devra améliorer ses pratiques.

Disponible sur: autoriteprotectiondonnees.be

Un particulier condamné pour avoir envoyé des documents aux autorités ecclésiastiques dans le cadre d’un différend privé

L’Autorité hellénique de protection des données personnelles (DPA) a publié le 6 février 2025 une décision sanctionnant un particulier (Z) d’une amende de 1 000 euros pour avoir traité des données de manière illicite. L’affaire concernait la communication de données personnelles de six personnes à plusieurs destinataires, dont des autorités ecclésiastiques, dans le cadre d’un différend juridique privé. L’enquête a débuté suite à des plaintes des six personnes concernées concernant deux communications envoyées par Z en mai et juin 2021.

Au cours de cette enquête, l’autorité a découvert que les communications envoyées par Z contenaient des données personnelles (adresse, coordonnées, situation familiale, numéro fiscal, profession, détails de propriété) des plaignants et étaient accompagnées de nombreux documents justificatifs (déclarations sous serment, contrats, actions en justice, décisions de justice, documents d’urbanisme, extraits de documents de police). Z avait envoyé ces informations à divers destinataires, notamment des métropolites et un archimandrite, sollicitant leur intervention et leur influence pour résoudre un différend de voisinage et des questions d’urbanisme.

L’APD a constaté que:
* La communication aux métropolites compétents, qui avaient la possibilité d’exercer un contrôle disciplinaire sur trois des plaignants ayant le statut de clercs, pouvait être considérée comme nécessaire aux fins des intérêts légitimes de Z (article 6 du RGPD), mais que la communication aux autres destinataires n’était ni appropriée ni nécessaire.
* De même, la communication des données personnelles des trois plaignants n’ayant pas le statut de clerc aux destinataires ecclésiastiques n’était pas justifiée.

L’autorité a estimé que le caractère privé du différend et le manque de compétence de la majorité des destinataires pour intervenir dans cette affaire rendaient la communication excessive. En conséquence, Z a été condamné à une amende 1 000 euros.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte une déclaration sur la mise en œuvre de la directive relative aux dossiers passagers (PNR)

Lors de sa réunion plénière de mars 2025, le comité européen de la protection des données (CEPD) a adopté une déclaration sur la mise en œuvre de la directive relative aux données des dossiers passagers (PNR) à la lumière de l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans l’affaire C-817/19. Dans sa deuxième déclaration sur la mise en œuvre de la directive PNR, qui fait suite à celle du 15 décembre 2022, le comité donne des orientations supplémentaires aux unités de renseignements passagers sur les adaptations et limitations nécessaires au traitement des données des dossiers passagers, à la suite de l’arrêt PNR. Les données des dossiers passagers sont des informations personnelles fournies par les passagers, collectées et conservées par les transporteurs aériens, qui comprennent les noms des passagers, les dates de voyage, les itinéraires, les sièges, les bagages, les coordonnées et les moyens de paiement.

La déclaration comprend des recommandations pratiques pour les législations nationales transposant la directive PNR afin de donner effet aux conclusions de la Cour de justice de l’Union européenne dans l’arrêt PNR. Les recommandations couvrent certains des aspects clés de l’arrêt PNR, tels que la manière dont les pays européens devraient sélectionner les vols à partir desquels les données des dossiers passagers sont collectées, ou la durée de conservation des données des dossiers passagers. Selon le comité, la durée de conservation de toutes les données PNR ne devrait pas dépasser une période initiale de six mois. Passé ce délai, les pays européens ne pourront conserver les données des dossiers passagers que le temps nécessaire et proportionné aux objectifs de la directive PNR.

Le comité est conscient que certains pays européens ont déjà entamé le processus d’adaptation, mais que les efforts de mise en œuvre dans l’ensemble des États membres font encore cruellement défaut. Par conséquent, dans sa déclaration, l’EDPB souligne la nécessité urgente de mettre en œuvre les modifications nécessaires et de modifier les législations nationales en tenant compte de l’arrêt PNR dès que possible.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.