Dernières actualités : données personnelles

Les mauvaises procédures de la PSNI aboutissent à une amende de 750 000 £ (environ 900 000 euros)

Dans un communiqué publié ce jour, l’ICO annonce avoir infligé une amende de 750 000 £ au Service de police d’Irlande du Nord (PSNI) pour avoir exposé les informations personnelles de l’ensemble de son personnel, laissant de nombreuses personnes craindre pour leur sécurité. En effet, le 3 août 2023, le PSNI a reçu deux demandes d’accès à l’information de la part de la même personne via WhatDoTheyKnow (WDTK). La première demande « … le nombre d’officiers à chaque rang et le nombre d’employés à chaque grade… », la seconde demande une distinction entre « combien sont substantifs / temporaires / intérimaires… ». Les informations ont été téléchargées sous forme de fichier Excel avec une seule feuille de calcul à partir du système de gestion des ressources humaines (SAP) du PSNI. Les données comprenaient : les noms et les initiales des prénoms, la fonction, le grade, le département, le lieu du poste, le type de contrat, le sexe et le numéro de service et de personnel du PSNI.

Comme les informations ont été analysées en vue de leur divulgation, plusieurs autres feuilles de calcul ont été créées dans le fichier Excel téléchargé. Une fois l’analyse terminée, tous les onglets visibles à l’écran ont été supprimés du fichier Excel afin de ne garder que les résultats. La feuille de calcul originale, qui contenait les données personnelles a été oubliée et est restée sur le fichier, qui a été téléchargé sur le site web du WDTK à 14h31 le 8 août.
Le PSNI a été alerté de la violation par ses propres agents vers 16h10 le même jour. Le fichier a été caché par WDTK à 16 h 51 et supprimé du site web à 17 h 27. Six jours plus tard, le PSNI a annoncé qu’il partait du principe que le fichier était entre les mains de républicains dissidents et qu’il serait utilisé pour créer de la peur et de l’incertitude et à des fins d’intimidation.

L’enquête de l’autorité a révélé que des procédures simples à mettre en œuvre auraient pu empêcher cette grave violation, dans laquelle des données cachées sur une feuille de calcul publiée dans le cadre d’une demande de liberté d’information ont révélé les noms de famille, les initiales, les grades et les rôles de l’ensemble des 9 483 officiers et membres du personnel du PSNI. L’ICO précise qu’elle est consciente de la situation financière actuelle du PSNI et ne souhaitant pas détourner l’argent public de ses objectifs, le commissaire a fait usage de son pouvoir discrétionnaire pour appliquer l’approche du secteur public dans cette affaire. Si cette approche n’avait pas été appliquée, l’amende aurait été de 5,6 millions de livres sterling (soit 6,6 millions d’euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

• La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
• Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO prend des mesures à l’encontre de deux organisations pour avoir « risqué la confiance du public » en ne répondant pas aux demandes d’information

Nous avons pris des mesures à l’encontre de deux services publics de confiance après que des enquêtes ont révélé qu’ils n’avaient pas respecté les exigences de base en matière de demande d’informations, telles qu’elles sont définies dans la loi de 2000 sur la liberté d’information (FOIA) [ à savoir l’équivalent de nos textes concernant l’Open Data]. La police de Devon et Cornouailles et le Barking, Havering and Redbridge Hospitals NHS Trust ont tous deux reçu des avis d’exécution pour leurs manquements à la loi sur la liberté d’information, qui ont vu des centaines de demandes d’information rester sans réponse.

Notre responsable des plaintes et des recours en matière de liberté d’information, Phillip Angell, a déclaré : « Tout le monde devrait avoir la possibilité d’accéder aux informations publiques. Lorsque cette information n’est pas reçue ou qu’elle est considérablement retardée, cela porte atteinte aux droits fondamentaux des citoyens. Ce manque de transparence peut également créer des obstacles indésirables et mettre en péril la confiance du public dans les organisations vers lesquelles nous nous tournons lorsque nous sommes le plus vulnérables. » Il ajoute qu’ « il existe des exigences légales très claires en ce qui concerne les demandes d’information sur la liberté d’information et ces manquements ont malheureusement donné lieu à des mesures réglementaires. Ces autorités doivent faire mieux pour résorber leurs importants retards en matière de liberté d’information et mettre en place des procédures garantissant à l’avenir une réponse rapide à toutes les demandes d’information et veillant à ce que le droit du public à l’information soit respecté. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO enquête sur la violation des données de 23andMe avec son homologue canadien

L’Information Commissioner’s Office (ICO) et le Commissariat à la protection de la vie privée du Canada (CPVP) ont lancé une enquête conjointe sur la violation de données qui s’est produite en octobre 2023 au sein de la société mondiale de tests génétiques directs aux consommateurs 23andMe, qui est dépositaire d’informations personnelles très sensibles, notamment d’informations génétiques qui ne changent pas avec le temps. Ces données peuvent révéler des informations sur une personne et les membres de sa famille, notamment sur leur santé, leur origine ethnique et leurs liens biologiques. C’est pourquoi la confiance du public dans ces services est essentielle.

L’enquête conjointe reflète l’engagement des régulateurs à collaborer à la protection du droit fondamental à la vie privée des individus dans toutes les juridictions.

Elle examinera :
1- L’étendue des informations exposées lors de la violation et les préjudices potentiels pour les personnes affectées ;
2- Si 23andMe disposait de garanties suffisantes pour protéger les informations hautement sensibles qu’elle contrôlait ; et
3- Si l’entreprise a notifié de manière adéquate la violation aux deux régulateurs et aux personnes concernées, comme l’exigent les lois canadienne et britannique sur la protection des données.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.