Dernières actualités : données personnelles

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-548/21

L’accès de la police aux données contenues dans un téléphone portable n’est pas nécessairement limité à la lutte contre la criminalité grave

Dans un arrêt publié ce jour, la CJUE rappelle que l’accès à l’ensemble des données contenues dans un téléphone portable peut constituer une ingérence grave, voire particulièrement grave, dans les droits fondamentaux de la personne
concernée. Elle estime néanmoins que considérer que seule la lutte contre la criminalité grave est susceptible de justifier l’accès à des données contenues dans un téléphone portable limiterait indûment les pouvoirs d’enquête des autorités compétentes. Il en résulterait un accroissement du risque d’impunité pour des infractions pénales en général et donc un risque pour la création d’un espace de liberté, de sécurité et de justice dans l’Union.

Cela étant, une telle ingérence dans la vie privée et la protection des données doit :
1- Être prévue par la loi, ce qui implique que le législateur national doit définir de manière suffisamment précise les éléments à prendre en compte, notamment, la nature ou les catégories des infractions concernées.
2 – Être subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, sauf en cas d’urgence dûment justifié. Ce contrôle doit assurer un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et, d’autre part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Enfin, la personne concernée doit être informée des motifs sur lesquels repose l’autorisation d’accéder à ses données, dès que la communication de cette information n’est plus susceptible de compromettre lesenquêtes

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

ICO (autorité anglaise)

Les mauvaises procédures de la PSNI aboutissent à une amende de 750 000 £ (environ 900 000 euros)

Dans un communiqué publié ce jour, l’ICO annonce avoir infligé une amende de 750 000 £ au Service de police d’Irlande du Nord (PSNI) pour avoir exposé les informations personnelles de l’ensemble de son personnel, laissant de nombreuses personnes craindre pour leur sécurité. En effet, le 3 août 2023, le PSNI a reçu deux demandes d’accès à l’information de la part de la même personne via WhatDoTheyKnow (WDTK). La première demande « … le nombre d’officiers à chaque rang et le nombre d’employés à chaque grade… », la seconde demande une distinction entre « combien sont substantifs / temporaires / intérimaires… ». Les informations ont été téléchargées sous forme de fichier Excel avec une seule feuille de calcul à partir du système de gestion des ressources humaines (SAP) du PSNI. Les données comprenaient : les noms et les initiales des prénoms, la fonction, le grade, le département, le lieu du poste, le type de contrat, le sexe et le numéro de service et de personnel du PSNI.

Comme les informations ont été analysées en vue de leur divulgation, plusieurs autres feuilles de calcul ont été créées dans le fichier Excel téléchargé. Une fois l’analyse terminée, tous les onglets visibles à l’écran ont été supprimés du fichier Excel afin de ne garder que les résultats. La feuille de calcul originale, qui contenait les données personnelles a été oubliée et est restée sur le fichier, qui a été téléchargé sur le site web du WDTK à 14h31 le 8 août.
Le PSNI a été alerté de la violation par ses propres agents vers 16h10 le même jour. Le fichier a été caché par WDTK à 16 h 51 et supprimé du site web à 17 h 27. Six jours plus tard, le PSNI a annoncé qu’il partait du principe que le fichier était entre les mains de républicains dissidents et qu’il serait utilisé pour créer de la peur et de l’incertitude et à des fins d’intimidation.

L’enquête de l’autorité a révélé que des procédures simples à mettre en œuvre auraient pu empêcher cette grave violation, dans laquelle des données cachées sur une feuille de calcul publiée dans le cadre d’une demande de liberté d’information ont révélé les noms de famille, les initiales, les grades et les rôles de l’ensemble des 9 483 officiers et membres du personnel du PSNI. L’ICO précise qu’elle est consciente de la situation financière actuelle du PSNI et ne souhaitant pas détourner l’argent public de ses objectifs, le commissaire a fait usage de son pouvoir discrétionnaire pour appliquer l’approche du secteur public dans cette affaire. Si cette approche n’avait pas été appliquée, l’amende aurait été de 5,6 millions de livres sterling (soit 6,6 millions d’euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

  • La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
  • Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO prend des mesures à l’encontre de deux organisations pour avoir « risqué la confiance du public » en ne répondant pas aux demandes d’information

Nous avons pris des mesures à l’encontre de deux services publics de confiance après que des enquêtes ont révélé qu’ils n’avaient pas respecté les exigences de base en matière de demande d’informations, telles qu’elles sont définies dans la loi de 2000 sur la liberté d’information (FOIA) [ à savoir l’équivalent de nos textes concernant l’Open Data]. La police de Devon et Cornouailles et le Barking, Havering and Redbridge Hospitals NHS Trust ont tous deux reçu des avis d’exécution pour leurs manquements à la loi sur la liberté d’information, qui ont vu des centaines de demandes d’information rester sans réponse.

Notre responsable des plaintes et des recours en matière de liberté d’information, Phillip Angell, a déclaré : « Tout le monde devrait avoir la possibilité d’accéder aux informations publiques. Lorsque cette information n’est pas reçue ou qu’elle est considérablement retardée, cela porte atteinte aux droits fondamentaux des citoyens. Ce manque de transparence peut également créer des obstacles indésirables et mettre en péril la confiance du public dans les organisations vers lesquelles nous nous tournons lorsque nous sommes le plus vulnérables. » Il ajoute qu’ « il existe des exigences légales très claires en ce qui concerne les demandes d’information sur la liberté d’information et ces manquements ont malheureusement donné lieu à des mesures réglementaires. Ces autorités doivent faire mieux pour résorber leurs importants retards en matière de liberté d’information et mettre en place des procédures garantissant à l’avenir une réponse rapide à toutes les demandes d’information et veillant à ce que le droit du public à l’information soit respecté. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut