Dernières actualités : données personnelles

UODO (autorité polonaise)

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Concours de l’Institut national de sécurité sociale (INPS) : seules les listes finales des admis peuvent être publiées en ligne

Dans sa newsletter du 6 juin, à la suite d’une plainte déposée par un participant au concours public pour 1858 postes de conseillers en protection sociale dans les rôles du personnel de l’INPS,  l’autorité estime que la publication sur le web des résultats des épreuves intermédiaires ou des données personnelles des participants qui n’ont pas été admis à un concours constitue une violation de la vie privée.

Dans cette affaire, le plaignant s’était plaint de la publication sur le site web de l’Institut de nombreux actes et documents, dont les listes des admis et des non admis à l’épreuve écrite et à l’épreuve orale et la liste des participants, contenant l’évaluation des qualifications par le comité du concours, avec indication de la note attribuée à chaque candidat. Ces documents se retrouveraient également sur les réseaux sociaux, ceux-ci ayant été republiés par des tiers.
En conséquence de cette violation de données, l’institut s’est vu infliger une amende de 20 000 euros et a été contraint de supprimer les listes en question.

L’autorité italienne a ainsi déclaré que « lorsque les entités publiques opèrent dans le cadre de procédures de concours,  elles doivent traiter les données personnelles des personnes concernées conformément à la réglementation sectorielle applicable: il n’est donc pas possible de publier en ligne les données des participants à des concours qui ne sont pas exigées par la loi. En effet, des niveaux de protection des données personnelles différenciés ne sont pas autorisés, que ce soit sur une base territoriale ou au niveau d’une administration unique, en particulier lorsque la question a déjà été équilibrée et réglementée par le législateur avec des dispositions uniformes au niveau national. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

L’autorité italienne adresse un avertissement à une mère concernant le traitement des données de sa fille

Ce 11 avril 2024, faisant suite à la plainte par le ‘gestionnaire de tutelle’ d’une mineure  concernant la diffusion, par sa maman de multiples images et informations concernant sa santé et sa vie privée – y compris des détails sur les événements criminels dont elle a été victime – ainsi que des informations relatives à sa procédure judiciaire devant le juge des tutelles sur Facebook et Instagram, l’autorité italienne a adressé un blâme à la maman autrice des publications et lui a enjoint de « communiquer les initiatives qui ont été prises afin de [cesser le traitement des images et tout contenu similaire] » dans un délai de 30 jours.

En effet, la Garante estime que celles-ci sont illégales « dans la mesure où elles sont non essentielles et portent atteinte à la dignité de XXX, en violation des articles 137, paragraphe 3, et 139 du code des données personnelles italien et les articles 6 et 10 des règles de déontologie applicables aux activités journalistisques  – et donc en violation des principes généraux de licéité et de loyauté du traitement des données à caractère personnel conformément à l’article 5, paragraphe 1, point a), du règlement ».
En effet, en application de l’article 10 des règles déontologiques italiennes – que l’autorité estime applicables à ce traitement effectué dans l’exercice de la liberté d’expression – s’agissant de la publication de données de santé dès lors que l’information n’est pas essentielle (sans intérêt public ou social majeur), la maman aurait dû  « respecter la dignité de sa ville, son droit à la vie privée et sa bienséance personnelle, en particulier dans le cas de maladies graves ou terminales ». Dans sa newsletter du 21 mai, elle précise qu’il aurait été licite de diffuser des messages qui ne contenaient pas de contenu “cru” car ils relèvent des formes de libre manifestation de la pensée.

Il est à souligner que le juge des tutelles, lors de l’audience du 8 septembre 2022, avait mis en demeure Mme XXX de « cesser immédiatement ladite activité », car elle était considérée comme « en totale violation de la vie privée de la jeune fille » et a autorisé le gestionnaire de la tutelle à déposer une plainte auprès de la Garante. Cette mise en demeure semble ne pas avoir été suivie d’effets, ce qui a engendré la plainte par le ‘gestionnaire de tutelle’ le 7 décembre 2022. Au regard de ces éléments complémentaires, il est visible que la Garante a été particulièrement clémente avec la maman en ne lui imposant pas le paiement d’une amende. 

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut