Dernières actualités : données personnelles

PIPC (autorité coréenne)

Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans

La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW (environ 4500 euros) de pénalités à l’Université Sunchunhyang et à l’Université Kyungsung pour avoir enfreint la Loi sur la protection des informations personnelles à propos de leurs obligations de sécurité.  Ces deux universités ont fait l’objet d’une enquête à la suite d’un rapport sur une fuite d’informations personnelles. Au cours de ces enquêtes, l’autorité a constaté :

* S’agissant de l’université Sunchunhyang : des informations personnelles ont été divulguées par des pirates informatiques qui ont exploité une vulnérabilité de logique web sur le site web principal de l’école. L’analyse des fichiers diffusés par le pirate sur les réseaux sociaux a confirmé que plus de 500 informations personnelles (nom, département, numéro de cours, adresse, coordonnées, affiliation, numéro de sécurité sociale, etc. Malgré cela, l’université Sunchonhyang n’a pas appliqué à ce jour le correctif de sécurité distribué par Oracle pour résoudre la vulnérabilité de la logique web en octobre 2017. En outre, l’université Sunchonhyang n’a pas mis en place les fonctions d’autres règles de sécurité essentielles, ni de  mesures de chiffrement lors de la conservation, dans un espace de stockage interne, de preuves relatives au recrutement de conférenciers contenant des numéros d’identification nationaux.
En conséquence, la PIPC a imposé une amende de 193 millions de KRW et une pénalité de 6,6 millions de KRW (environ 135 000 euros au total) à l’université Sunchonhyang, et a ordonné des mesures correctives afin de remédier aux carences mises en évidence.

* S’agissant de l’université Kyungsung : des informations personnelles ont été divulguées à la suite d’un piratage du système d’information global du campus (portail Kyungsung), de la même manière qu’à l’université Sunchonhyang, et les pirates ont diffusé les informations personnelles volées sur les services de réseaux sociaux. Après avoir analysé les fichiers publiés par les pirates, il a été confirmé que les informations personnelles (nom, département, numéro de cours, numéro de téléphone portable) de plus de 2 000 étudiants ont  été divulguées. À la suite de l’enquête, l’Université Kyungsung n’a pas non plus appliqué le correctif de sécurité distribué par Oracle en octobre 2017 pour résoudre la vulnérabilité de la logique web.
En réponse, la Commission de protection des informations personnelles a imposé une amende de 42,8 millions de wons (environ 29 000 euros) à l’université et lui a demandé d’améliorer l’ensemble de ses mesures de protection des informations personnelles.

L’autorité note qu’il est probable que les deux universités aient été attaquées par le même pirate informatique car elles ont laissé des vulnérabilités dans la logique web de leurs systèmes de traitement des informations personnelles non améliorées pendant plus de six ans.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que

Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 milliards de won (soit environ 15 millions d’euros) et une ordonnance corrective à Meta Platforms, Inc. (ci-après « Meta ») pour violation de la loi sur la protection des données personnelles. La PIPC a pris connaissance des faits selon lesquels Meta a collecté et utilisé des informations sensibles sans consentement, et a  décidé de lancer une enquête à ce sujet. Au cours de cette enquête, des plaintes ont été déposées au sujet du refus injustifié d’information concernant le traitement de données personnelles et des signalements de fuite de données due à des piratages, à la suite de quoi une seconde enquête a été lancée.

Les résultats des enquêtes menées par l’autorité coréenne montrent que :
1 – Meta a collecté des informations sensibles sans base légale, telles que les croyances religieuses et politiques, ainsi que la situation matrimoniale concernant les personnes de même sexe, d’environ 980,000 utilisateurs en Corée du Sud via leurs profils Facebook dans le passé. Ces informations ont été fournies à environ 4,000 annonceurs qui les ont utilisées. Plus précisément, des publicités liées à des thèmes sensibles (religions spécifiques, homosexualité, transgender, réfugiés nord-coréens, etc.) ont été créées en analysant les informations de comportement des utilisateurs, comme les pages « aimées » sur Facebook et les publicités cliquées.

En Corée du Sud, comme dans l’Union Européenne, la loi sur la protection des données considère les informations concernant les croyances, les opinions politiques, la vie sexuelle, etc., comme des informations sensibles qui doivent être strictement protégées et, en principe, leur traitement est limité. Il n’est possible de les traiter que dans des cas exceptionnels où un consentement distinct de la personne concernée a été obtenu ou en cas de base légale. Cependant, la PIPC a constaté que Meta a collecté ces informations sensibles et les a utilisées pour des services personnalisés sans obtenir de consentement distinct, et n’a pas mis en place de mesures supplémentaires de protection, même si ces pratiques étaient vaguement mentionnées dans sa politique de données.

La PIPC note cependant un bon point : Meta a cessé de collecter des informations sensibles à partir des profils (août 2021) et a détruit les thèmes publicitaires concernés (mars 2022), prenant ainsi des mesures correctives d’auto-initiation.

2- Meta a rejeté les demandes d’information des utilisateurs concernant le traitement de leurs données personnelles (durée de traitement des données personnelles, état de fourniture des données via la connexion Facebook, base de collecte d’informations sur les activités externes à Facebook et historique de consentement, etc.) en arguant, à tort, qu’elles ne faisaient pas partie des demandes d’accès selon la loi alors.

3- Meta aurait dû prendre des mesures de sécurité concernant des comptes et pages inactifs, telles que la suppression ou le blocage des pages / comptes.  Du fait de ce manquement, un hacker a pu soumettre une pièce d’identité falsifiée via la page de récupération de compte non utilisée pour demander la réinitialisation du mot de passe d’un autre compte. Meta a approuvé cette demande sans procéder à des vérifications adéquates de la pièce d’identité falsifiée, et les données personnelles de 10 utilisateurs coréens ont été fuitées.

Compte tenu de la nature et de la gravité de ces violations, la PIPC a décidé d’imposer à Meta une amende administrative et une sanction pour violation des réglementations de la loi concernant la limitation du traitement des informations sensibles, et a ordonné que Meta se mette en conformité. Enfin, la PIPC annonce qu’elle continuera de surveiller l’exécution des ordonnances de correction par Meta et s’efforcera d’assurer la protection des données personnelles de nos citoyens en appliquant la loi sans discrimination aux entreprises mondiales fournissant des services aux utilisateurs nationaux.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège : amende de 250 000 couronnes (environ 21 000 euros) infligée à la municipalité de Grue

L’autorité norvégienne a annoncé ce jour avoir décidé d’imposer une amende de 250 000 NOK (environ 21 000 euros) à la municipalité de Grue (comptant environ 5000 habitants) pour avoir violé les exigences du règlement général sur la protection des données.  En février 2024, l’autorité norvégienne de protection des données a reçu une notification de violation de données à caractère personnel de la part de la municipalité de Grue. Selon cette notification, la municipalité a appris que deux entrées dans le journal officiel local contenaient des données personnelles sensibles. Il s’est avéré qu’il s’agissait d’informations relatives à des décisions dites « 9A » en vertu de la loi sur l’éducation, qui sont des décisions individuelles concernant le droit des élèves à un environnement scolaire sûr. Ces documents contenaient le nom des élèves, leur date de naissance, leur numéro d’identité national ainsi que des informations sur les décisions 9A et les raisons qui les ont motivées. En outre, les numéros de téléphone et les adresses des parents ont été publiés.

Après un examen plus détaillé des registres postaux datant de 2020, huit autres anomalies ont été découvertes pour un total de 14 élèves concernés (ainsi que leurs parents). Certaines d’entres elles incluaient des numéros de sécurité sociale ou des numéros de compte qui apparaissent dans divers documents de demande. Dans un cas, la municipalité a reçu une lettre de la police dans laquelle un nom apparaît dans une affaire criminelle. En conséquence, l’autorité norvégienne a estimé que la municipalité a manqué à son obligation d’assurer une sécurité adéquate conformément au règlement général sur la protection des données. En outre, elle estime que la municipalité a violé les exigences d’une base juridique en vertu du règlement général sur la protection des données en publiant des informations confidentielles sur le journal officiel électronique.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Monde

Ledger, entreprise de cryptoactifs, sanctionnée par la CNIL pour insuffisance de protection des données

L’entreprise française de sécurisation de cryptoactifs Ledger a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données de ses clients, a annoncé, mercredi 23 octobre, le gendarme français de la protection des données personnelles à l’Agence France-Presse (AFP). D’après les médias The Big Whale et La Lettre, qui ont révélé l’information, le montant de l’amende infligée s’élève à 750 000 euros. La CNIL n’a pas confirmé ce montant, soulignant que cette sanction n’était « pas publique ».

Disponible (en anglais) sur: lemonde.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC inflige une amende de 310 millions d’euros à LinkedIn Ireland

La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui avoir condamné LinkedIn à une amende de 310 millions d’euros pour divers manquements aux règles en matière de licéité, de loyauté et de transparence.
 Cette enquête a été lancée par la DPC, dans son rôle d’autorité de contrôle principale pour LinkedIn, à la suite d’une plainte initialement déposée auprès de l’autorité française de protection des données.  L’enquête a porté sur le traitement par LinkedIn de données à caractère personnel à des fins d’analyse comportementale et de publicité ciblée des utilisateurs qui ont créé des profils LinkedIn (membres). La décision, prise par les commissaires à la protection des données, Dr Des Hogan et Dale Sunderland, et notifiée à LinkedIn le 22 octobre 2024, porte sur la licéité, la loyauté et la transparence de ce traitement.

En particulier, il est reproché à LinkedIn :
* de ne pas avoir valablement utilisé le consentement pour traiter les données de tiers relatives à ses membres à des fins d’analyse comportementale et de publicité ciblée, au motif que le consentement obtenu par LinkedIn n’était pas librement donné, suffisamment informé ou spécifique, ou non ambigu.
* de ne pas avoir valablement utilisé le fondement de l’intérêt légitime pour le traitement des données à caractère personnel de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée, ou des données de tiers à des fins d’analyse, étant donné que les intérêts de LinkedIn ont été supplantés par les intérêts et les droits et libertés fondamentaux des personnes concernées.
* de ne pas avoir valablement utilisé le fondement de nécessité contractuelle pour traiter les données de première partie de ses membres à des fins d’analyse comportementale et de publicité ciblée.
* de ne pas avoir correctement informé les personnes concernées concernant la base légale des traitements évoqués et de ne pas avoir respecté le principe de loyauté.

La décision comprend un blâme, une injonction à LinkedIn de mettre son traitement en conformité et des amendes administratives d’un montant total de 310 millions d’euros. La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en juillet 2024, comme l’exige l’article 60 du GDPR. Aucune objection n’a été soulevée à l’encontre du projet de décision du CPD. Le CPD est reconnaissant de la coopération et de l’assistance de ses homologues des autorités de contrôle de l’UE/EEE dans cette affaire.

Graham Doyle, commissaire adjoint au DPC, a commenté cette décision : « La légalité du traitement est un aspect fondamental de la législation sur la protection des données et le traitement de données à caractère personnel sans base juridique appropriée constitue une violation claire et grave du droit fondamental de la personne concernée à la protection des données. Le DPC publiera la décision complète et d’autres informations connexes en temps voulu. »

[Mise à jour – ajout contextuel Portail-RGPD: Dans un communiqué publié le 25 octobre, l’association La Quadrature du Net, à l’origine de plusieurs plaintes contre des grosses entreprises, a exprimé sa satisfaction mais regrette qu’il ait fallu « plus de six ans à l’autorité irlandaise pour arriver à cette sanction. Cela n’est pas dû à une quelconque complexité de l’affaire mais à des dysfonctionnements structurels et à l’absence de volonté politique caractéristique de cette autorité. En effet, des associations dénoncent régulièrement son manque de moyens, sa proximité avec les entreprises, son refus de traiter certaines plaintes ou encore son manque de coopération avec les autres autorités européennes. L’Irish Council for Civil Liberties a ainsi publié l’année dernière un rapport pointant les manquements et l’inefficacité de la Data Protection Commission irlandaise » .]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Corée: l’autorité sanctionne deux entreprises pour manquement à leurs obligations en matière de sécurité

La Commission de protection des informations personnelles (président Ko Hak-soo, ci-après dénommée « Commission de protection des informations personnelles ») a tenu sa 17e réunion plénière le 23 octobre (mercredi) et a voté l’imposition d’un total de 123,17 millions KRW d’amendes (soit environ 83 000 euros) et de 10,8 millions KRW (soit environ 7000 euros) de pénalités à deux entreprises* qui ont violé la loi sur la protection des informations personnelles.

* La première est Neo Pharm, un  exploitant d’un site web de centre commercial en ligne vendant des produits cosmétiques, etc. L’enquête a révélé que le pirate informatique a accédé à la page de l’administrateur Web du centre commercial exploité par Neopharm grâce aux informations du compte de l’administrateur du centre commercial obtenues à l’avance et a volé les informations personnelles des 293 723 membres du centre commercial. En particulier, le pirate informatique a accédé à la page de l’administrateur Web du centre commercial plus de 750 fois sur une période d’environ deux semaines, du 23 août au 5 août, a consulté et téléchargé des informations sur les membres et a envoyé environ 440 000 messages illégaux.

* La seconde est Ilhak Ltd., il s’agit d’un centre commercial qui a a fait l’objet d’une attaque d’insertion SQL par un pirate informatique pendant deux jours à partir du 23 décembre 17, et des informations personnelles ont été divulguées. Le pirate informatique qui a divulgué des informations personnelles a également affiché les informations personnelles de 10 000 personnes sur le tableau d’affichage du centre commercial.

Dans les deux cas,  la PIPC a constaté des lacunes dans la gestion de la sécurité. Par exemple, Neopharm avait négligé la gestion des droits d’accès en n’accordant pas de comptes à chaque gestionnaire d’informations personnelles et en partageant les comptes entre les départements, et qu’elle avait tardé à notifier les utilisateurs dont les informations personnelles avaient fait l’objet d’une fuite

En conséquence, la PIPC a condamné les deux entreprises :
* Neopharm: une amende de 105,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 75 000 euros au total)
* Ilhak: une amende de 15,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 15 000 euros au total)

L’autorité a déclaré que les entreprises qui fournissent des services et traitent des informations personnelles par l’intermédiaire de sites web doivent régulièrement gérer les comptes des gestionnaires d’informations personnelles et vérifier les failles de sécurité lorsqu’elles exploitent des pages d’administrateur web liées aux bases de données des membres, et qu’elles doivent prêter une attention constante aux attaques de vulnérabilité web bien connues, telles que les attaques par injection SQL, et prendre les mesures de sécurité appropriées.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut