Dernières actualités : données personnelles

IMY (autorité suédoise)

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les plateformes de médias sociaux et de partage de vidéos sont mises en garde sur la de protection de la vie privée des enfants

Nous demandons à 11 plateformes de médias sociaux et de partage de vidéos d’améliorer leurs pratiques en matière de protection de la vie privée des enfants. Les plateformes qui ne respectent pas la loi s’exposent à des mesures coercitives. Cette mesure fait suite à l’examen en cours des plateformes de médias sociaux (SMP) et de partage de vidéos (VSP) dans le cadre de notre stratégie du Code de l’enfance.

Notre laboratoire technique a examiné 34 SMP et VSP en se concentrant sur le processus par lequel les jeunes s’inscrivent pour obtenir un compte. Les niveaux d’adhésion à notre code de l’enfant varient, certaines plateformes n’en faisant pas assez pour protéger la vie privée des enfants. Onze des 34 plateformes sont interrogées sur des questions relatives aux paramètres de confidentialité par défaut, à la géolocalisation ou à l’assurance de l’âge, et doivent expliquer comment leur approche est conforme au code, à la suite des préoccupations soulevées par l’examen. Nous nous entretenons également avec certaines plateformes au sujet de la publicité ciblée afin de définir les changements attendus pour que les pratiques soient conformes à la fois à la loi et au code.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Covid : L’autorité italienne ouvre une enquête sur l’interdiction, par une autorité sanitaire locale, de recruter des stagiaires non vaccinés

Ce 12 juin 2024, à l’occasion d’un communiqué de presse, l’autorité italienne a annoncé avoir ouvert une enquête afin de faire suite à l’information selon laquelle certains stagiaires se sont vus refuser l’accès à l’hôpital parce qu’ils n’avaient pas reçu la quatrième dose du vaccin anti-Covid.  Selon un article de presse, les étudiants du cours d’infirmière de l’université de Salento qui n’ont pas reçu la quatrième dose de vaccin Sars-Cov-2 n’auraient pas pu effectuer leur stage obligatoire à l’hôpital.  Toujours dans la presse, l’autorité sanitaire locale de Lecce aurait justifié ce refus en se fondant sur une loi régionale réglementant la vaccination obligatoire des travailleurs de la santé.

L’autorité italienne demande ainsi des comptes à l’autorité sanitaire locale, lui donnant 15 jours pour informer la Garante des finalités et de la base légale du traitement. En effet, depuis le 1er novembre 2022, l’obligation de vaccination Covid n’est plus requise en Italie pour les professionnels de la santé et les travailleurs de la santé.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Concours de l’Institut national de sécurité sociale (INPS) : seules les listes finales des admis peuvent être publiées en ligne

Dans sa newsletter du 6 juin, à la suite d’une plainte déposée par un participant au concours public pour 1858 postes de conseillers en protection sociale dans les rôles du personnel de l’INPS,  l’autorité estime que la publication sur le web des résultats des épreuves intermédiaires ou des données personnelles des participants qui n’ont pas été admis à un concours constitue une violation de la vie privée.

Dans cette affaire, le plaignant s’était plaint de la publication sur le site web de l’Institut de nombreux actes et documents, dont les listes des admis et des non admis à l’épreuve écrite et à l’épreuve orale et la liste des participants, contenant l’évaluation des qualifications par le comité du concours, avec indication de la note attribuée à chaque candidat. Ces documents se retrouveraient également sur les réseaux sociaux, ceux-ci ayant été republiés par des tiers.
En conséquence de cette violation de données, l’institut s’est vu infliger une amende de 20 000 euros et a été contraint de supprimer les listes en question.

L’autorité italienne a ainsi déclaré que « lorsque les entités publiques opèrent dans le cadre de procédures de concours,  elles doivent traiter les données personnelles des personnes concernées conformément à la réglementation sectorielle applicable: il n’est donc pas possible de publier en ligne les données des participants à des concours qui ne sont pas exigées par la loi. En effet, des niveaux de protection des données personnelles différenciés ne sont pas autorisés, que ce soit sur une base territoriale ou au niveau d’une administration unique, en particulier lorsque la question a déjà été équilibrée et réglementée par le législateur avec des dispositions uniformes au niveau national. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

L’autorité italienne adresse un avertissement à une mère concernant le traitement des données de sa fille

Ce 11 avril 2024, faisant suite à la plainte par le ‘gestionnaire de tutelle’ d’une mineure  concernant la diffusion, par sa maman de multiples images et informations concernant sa santé et sa vie privée – y compris des détails sur les événements criminels dont elle a été victime – ainsi que des informations relatives à sa procédure judiciaire devant le juge des tutelles sur Facebook et Instagram, l’autorité italienne a adressé un blâme à la maman autrice des publications et lui a enjoint de « communiquer les initiatives qui ont été prises afin de [cesser le traitement des images et tout contenu similaire] » dans un délai de 30 jours.

En effet, la Garante estime que celles-ci sont illégales « dans la mesure où elles sont non essentielles et portent atteinte à la dignité de XXX, en violation des articles 137, paragraphe 3, et 139 du code des données personnelles italien et les articles 6 et 10 des règles de déontologie applicables aux activités journalistisques  – et donc en violation des principes généraux de licéité et de loyauté du traitement des données à caractère personnel conformément à l’article 5, paragraphe 1, point a), du règlement ».
En effet, en application de l’article 10 des règles déontologiques italiennes – que l’autorité estime applicables à ce traitement effectué dans l’exercice de la liberté d’expression – s’agissant de la publication de données de santé dès lors que l’information n’est pas essentielle (sans intérêt public ou social majeur), la maman aurait dû  « respecter la dignité de sa ville, son droit à la vie privée et sa bienséance personnelle, en particulier dans le cas de maladies graves ou terminales ». Dans sa newsletter du 21 mai, elle précise qu’il aurait été licite de diffuser des messages qui ne contenaient pas de contenu “cru” car ils relèvent des formes de libre manifestation de la pensée.

Il est à souligner que le juge des tutelles, lors de l’audience du 8 septembre 2022, avait mis en demeure Mme XXX de « cesser immédiatement ladite activité », car elle était considérée comme « en totale violation de la vie privée de la jeune fille » et a autorisé le gestionnaire de la tutelle à déposer une plainte auprès de la Garante. Cette mise en demeure semble ne pas avoir été suivie d’effets, ce qui a engendré la plainte par le ‘gestionnaire de tutelle’ le 7 décembre 2022. Au regard de ces éléments complémentaires, il est visible que la Garante a été particulièrement clémente avec la maman en ne lui imposant pas le paiement d’une amende. 

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les services de l’enfance de Birmingham réprimandés après avoir divulgué de manière inappropriée les informations personnelles d’un enfant

L’ICO a annoncé avoir adressé un blâme à la Birmingham Children’s Trust Community Interest Company après que les informations personnelles d’un enfant ont été divulguées de manière inappropriée à une autre famille. Le service de protection et de révision des enfants de la Birmingham Children’s Trust Community Interest Company, qui appartient au conseil municipal de Birmingham, travaillait avec deux familles voisines lorsque la violation de données s’est produite. Un plan de protection de l’enfance a en effet été communiqué à l’une des familles, qui contenait à la fois des informations personnelles et des allégations criminelles concernant un enfant de la famille voisine. Ces informations ont été incluses par erreur après avoir été copiées à partir de procès-verbaux de réunions.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

 Violations d’informations sensibles récurrentes concernant des personnes vivant avec le VIH

Les personnes vivant avec le VIH sont privées de leur « dignité fondamentale et de leur vie privée » en raison des violations répétées de données qui révèlent leur statut sérologique, en raison de qui l »ICO appelle à des « améliorations urgentes » dans tout le Royaume-Uni.
Le régulateur travaille avec les organisations caritatives de lutte contre le VIH afin d’améliorer le soutien offert aux personnes vivant avec le VIH sur la manière dont leurs informations sensibles sont traitées. Le commissaire, John Edwards, a condamné les normes de protection des données dans les services de santé destinés aux personnes vivant avec le VIH et a appelé à des améliorations urgentes. Cette déclaration fait suite à plusieurs violations de données, ainsi qu’aux préoccupations exprimées par certaines des plus grandes organisations de lutte contre le VIH du pays.

Au cours de l’année 2022/3, le secteur de la santé a représenté plus d’un cinquième de toutes les violations de données personnelles, ce qui en fait la source la plus fréquente de signalements à l’ICO.
La déclaration d’aujourd’hui fait suite à une autre amende infligée par l’Information Commissioner’s Office (ICO) à un prestataire de services liés au VIH. L’ICO a infligé une amende de 7 500 livres sterling à la Central Young Men’s Christian Association (Central YMCA) de Londres pour une violation de données dans le cadre de laquelle des courriels destinés à des personnes participant à un programme de soutien aux séropositifs ont été envoyés à 264 adresses électroniques en utilisant la fonction CC au lieu de la fonction BCC, révélant ainsi les adresses électroniques à tous les destinataires. 166 personnes ont ainsi été identifiées ou potentiellement identifiables. L’association Central YMCA s’est acquittée de l’intégralité de l’amende.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut