Dernières actualités : données personnelles

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouveau cadre d’audit de la protection des données est lancé pour aider les organisations à améliorer leur conformité

L’ICO a annoncé aujourd’hui avoir lancé un nouveau cadre d’audit conçu pour aider les organisations à évaluer leur propre conformité aux exigences clés de la loi sur la protection des données. Ce cadre donne aux organisations les moyens d’identifier les mesures nécessaires pour améliorer leurs pratiques en matière de protection des données et créer une culture de la conformité. Il leur fournit un point de départ pour évaluer la manière dont elles traitent et protègent les informations personnelles. Qu’il s’agisse de la direction générale, des délégués à la protection des données, des auditeurs de conformité ou des responsables de la gestion des dossiers ou de la cybersécurité, le cadre offre des outils pratiques pour mettre en place et maintenir une gestion solide de la protection de la vie privée.

Il s’agit d’une extension de notre cadre de responsabilisation existant, et il comprend neuf boîtes à outils couvrant les domaines clés suivants : Responsabilité, gestion des dossiers, information et cybersécurité, formation et sensibilisation, partage des données, demandes de données, gestion des violations de données personnelles, intelligence artificielle ou encore conception adaptée à l’âge.

Chaque boîte à outils est accompagnée d’un outil de suivi de l’audit de la protection des données téléchargeable qui aidera les organisations à procéder à leur propre évaluation de la conformité et à suivre les actions à entreprendre dans les domaines nécessitant une amélioration.

Ian Hulme, directeur de l’assurance réglementaire à l’ICO, a déclaré : « La transparence et la responsabilité en matière de protection des données sont essentielles, non seulement pour le respect de la réglementation, mais aussi pour instaurer la confiance avec le public. Les études montrent que les gens accordent de plus en plus d’importance à l’utilisation responsable de leurs informations personnelles et veulent que les organisations soient en mesure de démontrer qu’elles appliquent des pratiques rigoureuses en matière de protection des données. Notre nouveau cadre d’audit contribuera à instaurer la confiance et à encourager une culture positive de la protection des données, tout en étant flexible dans le ciblage des domaines de conformité les plus urgents. Nous voulons donner aux organisations les moyens de considérer la protection des données comme un atout, et pas seulement comme une obligation légale ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut