Dernières actualités : données personnelles

AEPD (autorité espagnole)

Orange sanctionné d’une amende de 1,2 millions d’euros pour manquement à la protection des données personnelles suite à un « SIM swapping »

L’autorité espagnole a aujourd’hui publié une longue (120 pages) décision de sanction à l’encontre d’Orange Espagne en raison de lacunes sur les mesures de sécurité, mises en lumière par un nouveau cas de SIM swapping. Cette affaire commence par une réclamation déposée par une victime l’émission frauduleuse d’un duplicata de carte SIM le 15 novembre 2022, sans le consentement du titulaire, dans une boutique franchisée d’Orange à Madrid, qui a engendré un vol de 9 000 euros sur les comptes bancaires de la victime.

L’enquête de l’AEPD a permis de constater;
* Traitement illicite de données (article 6 du RGPD): L’émission d’un duplicata de carte SIM constitue un traitement de données personnelles (nom, numéro de téléphone, identifiants réseau). En permettant cette fraude, Orange a traité illégalement les données du plaignant, entraînant une conséquence directe sur sa sécurité financière.
* Privacy by design (article 25 du RGPD): L’AEPD a constaté des manquements dans l’application du principe de protection des données dès la conception des procédures d’émission de duplicatas de cartes SIM. En particulier, il n’y a pas eu de mesures prévues pour vérifier que les informations saisies n’étaient pas erronées et pour vérifier que la demande de duplication de la carte était faite par le titulaire de la ligne via une authentification multifacteur. Orange n’a pas suffisamment analysé les risques liés à un processus manuel de duplicata de carte SIM, et n’a en conséquence pas mis en place les mesures techniques et organisationnelles appropriées pour vérifier l’identité des demandeurs de duplicata

Orange a tenté de se défendre en déclarant être victime de cette fraude, commise par des employés agissant en violation des protocoles. Cependant, l’AEPD a estimé qu’Orange reste responsable en tant que responsable du traitement des données et aurait dû mieux sécuriser le processus de duplication de cartes SIM. L’entreprise a été sanctionnée à une amende de 1,2 millions d’euros, et devra améliorer ses pratiques pour éviter les fraudes.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

PIPC (autorité coréenne)

L’application ‘DeepSeek’ temporairement suspendue en Corée du Sud

L’autorité coréenne de la protection des données a aujourd’hui annoncé la suspension temporaire, à compter du 15 février (samedi) à 18h00, de DeepSeek. Le service sera relancé après amélioration et complément en conformité avec la loi nationale sur la protection des données personnelles.

Dans son communiqué de presse, l’autorité note que :
* La PIPC a immédiatement envoyé un questionnaire officiel à DeepSeek concernant les méthodes de collecte et de traitement des données personnelles (le 31 janvier) et a commencé une analyse interne du service
* Les résultats de cette analyse ont révélé certaines insuffisances dans les politiques de communication avec des tiers et dans le traitement des données personnelles, comme signalé par les médias nationaux et étrangers
* La semaine dernière, DeepSeek a désigné un représentant national et a reconnu qu’il y avait eu des négligences concernant la conformité à la loi nationale lors du lancement du service mondial, tout en exprimant sa volonté de coopérer activement avec la Commission de protection des données personnelles (le 14 février)
* Après la suspension, des discussions ont été menées sur les améliorations et compléments à apporter.

La Commission prévoit d’effectuer un suivi minutieux du traitement des données personnelles par le service DeepSeekk pendant cette période de suspension afin de garantir le respect de la loi et d’apaiser les préoccupations du public concernant la protection des données personnelles.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ANSPDCP (autorité roumaine)

 Meedea Construct Prest SRL condamné à une amende de 2 000 euros pour divulgation des données d’un ancien employé à un tiers

L’autorité roumaine a aujourd’hui publié le résume d’une décision de sanction contre Meedea Construct Prest SRL (en tant qu’ancien ancien employeur) pour avoir divulgué à une autre personne tierce des documents liés à l’emploi de la personne concernée, cette tierce personne les ayant utilisés dans un litige devant le tribunal.

Dans le cadre de l’enquête ouverte par l’autorité, il a été constaté  :
* Licéité du traitement (articles 6 et 9 du RGPD) : l’entreprise divulgué sans respecter les conditions légales des données personnelles et concernant l’état de santé appartenant au plaignant (ancien salarié), telles que : nom, prénom, adresse, série et numéro du document d’identité, code numérique personnel, fonction/métier/occupation, signature, date de naissance, adresse du domicile, affections médicales, signature et cachet du médecin.

En conséquence, l’entreprise a été sanctionnée à une amende de 2 000 euros. Classiquement, elle a également reçu un ordre de prendre une mesure corrective afin d’assurer la conformité avec le RGPD des opérations de collecte et de traitement ultérieur des données personnelles, de manière à éviter l’accès et la divulgation de données personnelles traitées en violation des principes et des conditions de légalité.

Disponible (en roumain) sur: dataprotection.ro
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD inflige des sanctions à 20 (!!) entités du groupe bancaire Caja Rural suite à une violation de données personnelles

L’AEPD a, ce 13 février, publié 5 décisions de sanctions à l’encontre de 5 entités juridiques du groupe bancaire Caja Rural en raison de failles de sécurité ayant abouti à une violation de données en lien avec leur système d’authentification SSO : au total, 165 000 euros d’amendes ont été prononcées. L’affaire commence avec l’entité RURAL SERVICIOS INFORMÁTICOS S.L. (RSI), qui a effectué les premières notifications pour 19 entités du groupe. L’AEPD a reçu des notifications de la part de 7 autres entités, alors même que RSI était censé être le « responsable opérationnel » du traitement.

L’enquête ouverte par l’AEPD a permis de constater:
* Responsabilité du traitement (article 24 du RGPD) : Plusieurs entités du Grupo Caja Rural ont plaidé pour un traitement groupé des procédures, arguant qu’il existait une connexion étroite entre les affaires. Elles ont également contesté la responsabilité (soulignant que RSI était « responsable opérationnel » et aurait dû mettre en place les mesures adéquates) et ont invoqué la proportionnalité des sanctions. L’AEPD a rejeté ces demandes, soulignant que chaque entité avait agi de manière autonome après la violation. Le fait que RSI soit le même sous-traitant pour toutes les entités ne signifie pas qu’il s’agit d’une seule et même violation. Chaque entité a pris la décision autonome de contracter avec RSI et a signé son propre contrat de traitement de données. L’AEPD a mis en avant que les rapports d’analyse d’incident de sécurité avaient été réalisés individuellement pour chaque Caja Rural, reflétant leurs spécificités propres.

* Mandats : l’AEPD a notamment requis des entités qu’elles fournissent une documentation prouvant qu’elles avaient bien donné des instructions à leur sous-traitant pour notifier la violation de données, ainsi que le mandat adéquat. Certaines entités ont fourni une « déclaration de responsabilité » attestant qu’elles avaient donné des instructions à RSI pour notifier la violation à l’AEPD en leur nom, conformément à l’article 33 du RGPD.

* Sécurité des données (articles 5 et 32 du RGPD) : l’autorité a estimé que les manquements aux mesures de sécurité techniques et organisationnelles avaient directement causé la violation de données. L’agence a examiné les mesures de sécurité en place, notant qu’elles se référaient davantage à la sécurité de l’information qu’à la protection des données personnelles. Il leur a notamment été reproché: l’absence de mécanismes de surveillance proactifs, les vulnérabilités des systèmes d’authentification et l’exploitation de ces vulnérabilités pour accéder aux comptes clients.

En conséquence, 5 entités ont été condamnées à un montant total de 180 000 euros (respective à 110 000 euros, 20 000 euros (x2) et 15 000 euros (x2))), celle-ci ayant été réduites dans le cadre d’une réévaluation (pour l’une d’entre elles), et d’une procédure de paiement volontaire. Le groupe n’aura ainsi versé « que » 140 000 euros (environ).

[Mises à jour du 14 et 15 février: L’AEPD a publié une de nouvelles sanctions contre 9 nouvelles entités du groupe, pour un total désormais d’environ 384 000 euros après les réductions. Il est probable que d’autres sanctions non encore publiées arrivent.
Mise à jour du 17 février: 6 nouvelles sanctions ont été publiées (dont une pour 400 000 euros après réduction!), portant le total à 895 000 euros.]

Disponible (en espagnol) sur: aepd.es:  sanction 1, sanction 2, sanction 3, sanction 4, sanction 5, sanction 6, sanction 7, sanction 8, sanction 9,  sanction 10, sanction 11, sanction 12, sanction 13, sanction 14, sanction 15, sanction 16, sanction 17, sanction 18, sanction 19, sanction 20
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne adresse un avertissement la Société Éditoriale Il Fatto en raison d’une possible violation de la réglementation sur la vie privée et des règles déontologiques des journalistes

L’autorité italienne a aujourd’hui annoncé avoir envoyé un avertissement formel à la Société Éditoriale Il Fatto SPA, prévenant que le traitement ultérieur des données personnelles contenues dans les chats publiés dans le volume « Fratelli di chat » pourrait enfreindre la réglementation en matière de vie privée, les règles déontologiques de la profession journalistique, ainsi que les principes généraux de légalité, de loyauté, de minimisation et d’essentiel de l’information. Le volume contient en effet la transcription, avec des citations, d’innombrables chats échangés entre des parlementaires, des ministres et des dirigeants de Fratelli d’Italia – qui, selon la jurisprudence constitutionnelle, sont assimilables à tous égards à la correspondance privée, protégée par les articles 15 et, dans certains cas, 68 de la Constitution. Ces dispositions établissent une attente naturelle de confidentialité.

L’autorité précise qu’elle se réserve le droit de prendre toutes les mesures jugées appropriées, à l’issue de l’enquête en cours, engagée à la suite des réclamations reçues.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 13 février 2025

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 13 février 2025 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Examen de deux demandes de décisions uniques déposées par l’Agence européenne des médicaments ayant pour finalité la mise en œuvre de projets de recherches dans le domaine de la santé à partir de données du Système national des données de santé ;
* Communication sur la mise en œuvre de caméras augmentées aux fins de lutte contre le vol et de détection des erreurs lors du passage aux caisses automatiques ;
* Communication relative aux travaux à venir dans le secteur de la « silver économie ».

Partie II (sans débats):
* Examen d’un projet de délibération autorisant l’INSTITUT NATIONAL DE LA SANTÉ ET DE LA RECHERCHE MÉDICALE – ANRS – MALADIES INFECTIEUSES ÉMERGENTES à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « ANRS CO4-FHDS SNDS ».

Disponible sur: CNIL.fr

Numerama – Cyberguerre

Chronopost victime d’un piratage massif : des millions de données clients en danger

Chronopost, la branche de livraison express du Groupe La Post, a subi une cyberattaque. Des captures de mails partagées sur les réseaux sociaux révèlent que l’entreprise a commencé à informer ses clients depuis le 10 février dernier. Chronopost indique que son système a été compromis le 29 janvier dernier. Une attaque par rançongiciel est exclue et les services devraient continuer à fonctionner normalement. Toutefois, le pirate est parvenu à extraire les données clients.

Disponible sur: numerama.com

AEPD (autorité espagnole)

6 000 euros d’amende pour un journal ayant publié des données personnelles excessives dans un article, incluant des données de santé.

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de PUBLICACIONES Y EDICIONES BARACA 208, S.L.  pour avoir publié un article dans un journal (en l’occurrence, numérique) contenant des données personnelles inutiles. L’affaire a débuté lorsqu’une plainte a été déposée concernant la publication d’un article dans la version digitale du journal de l’entreprise, incluant des données identifiantes (nom, prénom, DNI, domicile) et des données de santé d’une personne.

En réponse, l’AEPD a ouvert une enquête et a estimé :
* Principe de minimisation (article 5 du RGPD) : les données personnelles publiées, notamment le DNI (numéro d’identification), le domicile et les données de santé, sont excessives et non nécessaires par rapport à la finalité informative de l’article,
* Traitement de données de santé (article 9 du RGPD): l’article contenait des données relatives à la santé de A.A.A, alors que le responsable de traitement n’a justifié d’aucune base légale le permettant.

En conséquence, l’AEPD a initialement proposé une amende de 10 000 €. PUBLICACIONES Y EDICIONES BARACA 208, S.L. ayant retiré l’article de son site web, reconnu sa responsabilité et procédé au paiement volontaire, l’entreprise a pu bénéficier d’une réduction de 40% (selon le droit espagnol) ramenant le montant à 6 000 €.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte une déclaration sur l’assurance d’âge, crée un groupe de travail sur l’application de l’IA et donne des recommandations à l’AMA

Lors de sa réunion plénière de février 2025, le Comité européen de la protection des données (CEPD) a adopté trois nouveaux documents / décisions:

1- Dans une déclaration sur l’assurance d’âge, le CEPD énonce dix principes pour le traitement conforme des données personnelles lors de la détermination de l’âge ou de la tranche d’âge d’un individu. La déclaration vise à garantir une approche européenne cohérente de l’assurance d’âge, pour protéger les mineurs tout en respectant les principes de protection des données.

2- Le Comité a également décidé d’étendre le champ d’action du groupe de travail ChatGPT à l’application de l’IA. De plus, les membres du CEPD ont souligné la nécessité de coordonner les actions des autorités de protection des données (APD) concernant les questions sensibles urgentes et à cet effet, un équipe de réponse rapide sera mise en place.

3- Enfin, le CEPD a adopté des recommandations concernant le Code mondial antidopage de l’AMA pour 2027. Lors du traitement des données personnelles à des fins antidopage, il est essentiel de respecter et de protéger les données personnelles des athlètes. Dans de nombreux cas, cela impliquera le traitement de données personnelles sensibles, telles que des données de santé dérivées d’échantillons biologiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DVI (autorité lettonne)

#DVI explique : La publication des résultats scolaires des élèves est-elle admissible ?

Les parents et d’autres parties intéressées rapportent de temps à autre à l’autorité que dans les écoles, les résultats quotidiens des élèves et leurs classements sont publiés. C’est l’exemple des résultats des élèves est affiché sur le tableau, avec le nom de chaque élève, sa note moyenne et sa position parmi ses camarades de classe [mais mentionner ces notes à l’oral en distribuant les copies, procédé très classique en France, reviendrait au même]. La question se pose : n’est-ce pas une violation de la protection des données ?

Dans son article, l’autorité estime que si le but de la publication des résultats scolaires est de mettre en avant les élèves les plus performants et de motiver les autres à améliorer leurs résultats, cela ne peut être considéré comme une solution proportionnée. Il convient de noter que cela peut avoir un impact négatif sur les élèves ayant de faibles résultats, qui se classent en bas du classement. Elle estime que les objectifs mentionnés peuvent être atteints en procédant à un traitement des données dans une moindre mesure. En effet, les informations concernant les résultats de chaque enfant et leur position dans le classement peuvent être fournies à chaque enfant et à ses parents de manière individuelle, sans divulguer les données des autres enfants. De même, les écoles peuvent exprimer une reconnaissance publique des meilleurs élèves lors des événements scolaires.

Si l’établissement éducatif peut trouver un moyen d’informer positivement et de manière proportionnelle les autres sur les réussites des élèves, il devrait au préalable informer les enfants et les parents.
Cela leur permettrait de donner leur avis et, si nécessaire, de refuser la publication des données.

Disponible (en letton) sur: dvi.gov.lv
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut