Dernières actualités : données personnelles

AEPD (autorité espagnole)

Espagne : sanction d’un établissement de crédit pour traitement illicite après une usurpation d’identité

La semaine dernière, l’autorité espagnole (AEPD) a publié une sanction à l’encontre de la société Wenance Lending de España, S.A. (WELP ou WENANCE), une société de prêt en ligne, par laquelle elle prononce une amende de plus de 70 000 euros. pour violation de l’article 6 du RGPD selon lequel le traitement n’est licite que si une base légale appropriée est applicable.

Comme souvent, cette affaire commence avec la réclamation d’une personne, en l’occurrence, pour un traitement illégal de données personnelles. Le plaignant déclare que le 21 août 2020, il a vu une offre d’emploi sur le site web « milanuncios ». L’annonce indiquait le numéro de téléphone à contacter. Après avoir contacté ce numéro, le plaignant affirme avoir envoyé un selfie de lui-même avec une photo du recto et du verso de sa carte d’identité.
Peu de temps après, il dépose une réclamation affirmant que WELP lui impute une dette qui ne lui correspond pas, puisqu’elle découle de la contraction d’un prêt qui aurait été contracté frauduleusement le même jour.

L’AEPD ouvre une enquête au cours de laquelle il a été constaté que la procédure d’octroi du crédit établie par la défenderesse, en fonction du montant de la créance, était la suivante :
a) Remplir le formulaire de demande en indiquant vos données personnelles.
b) Soumission de la  photo de la pièce d’identité, recto et verso, selfie avec carte d’identité à la main, justificatif de revenus et copie du dernier bulle

[Ajout contextuel Portail RGPD: Autrement dit, l’arnaque était bien ficelée et visait à obtenir précisément ces éléments, ou en tout cas suffisamment afin de pouvoir falsifier le reste aisément.]

L’enquête a par ailleurs confirmé que le compte bénéficiant du prêt n’appartient pas au plaignant mais à une autre personne avec date d’enregistrement 20/08/2020 et date de radiation 15/01/2021. Le compte a été créé le 20 août 2020, un jour avant la conclusion du prêt faisant l’objet de la plainte. Il a été vérifié que l’adresse électronique et le numéro de téléphone utilisés pour contracter le prêt et qui apparaissent dans les bases de données de WELP ne coïncident pas avec l’adresse électronique et le numéro de téléphone que la Banque SANTANDER possède dans ses bases de données et que le plaignant a utilisés pour contacter WELP. Par ailleurs, WELP n’a pas fourni la preuve de la propriété du compte bancaire qu’elle était censée avoir vérifié manuellement pour contracter le prêt.

Compte tenu de ces éléments, l’autorité espagnole considère que le traitement des données à caractère personnel de la plaignante par WENANCE, qui a enregistré un contrat de crédit à la consommation en son nom, n’était couvert par
aucune des bases juridiques énoncées à l’article 6 du RGPD. Elle estime ainsi que la banque a procédé à un traitement illicite de données à caractère personnel et l’a condamné à une amende.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

SIM swapping : après Vodafone, c’est au tour de Telefonica de payer une amende

Le 22 avril 2024, nous avons publié une actualité expliquant que Vodafone a été condamné à une amende de 200 000 euros pour des problèmes de sécurité en lien avec le Sim Swapping. Début juillet, c’est désormais Telefonica qui se trouvait dans le viseur de l’AEPD. Cette affaire commence par une plainte, d’une personne expliquant avoir avoir endommagé sa carte SIM et s’être rendue dans un magasin « Movistar » afin de la remplacer. Néanmoins, un duplicata a par erreur été délivré à un tiers qui s’en est servi afin de procéder à 6 opérations bancaires en quelques jours.

Au cours de l’enquête menée par l’autorité espagnole,  Telefonica a expliqué que lorsqu’un client « lorsqu’un client demande un duplicata de carte SIM dans une boutique Movistar, la procédure à suivre est appelée « remplacement de la carte SIM », qui, pour les clients privés de la marque commerciale Movistar, comme c’est le cas en l’espèce, consiste en ce qui suit : dans le cas des personnes physiques, la personne autorisée à effectuer la procédure serait le titulaire de la ligne pour laquelle le duplicata est demandé, ou un représentant légal ou une personne autorisée par le titulaire. Pour un plus grand degré de protection, en ce qui concerne l’accréditation de l’identité du client, un double contrôle est établi avec l’identification du client, et la validation de l’opération par le client ». Cependant, dans une réponse donnée ultérieurement, « le défendeur reconnaît que la duplication frauduleuse a eu lieu, déclarant après avoir examiné ses systèmes, qu’il n’y a aucune trace de la documentation stockée pour la demande datée du 7 janvier 2023 ».

C’est là ce qui lui sera reproché par l’autorité espagnole : la société ne peut pas démontrer sa conformité au RGPD. Pour expliciter sa position à l’entreprise qui tentait de justifier son absence de culpabilité, l’AEPD explique « qu’il a existé des cas où, malgré l’existence d’un comportement illégal, il a été accrédité que le responsable avait agi avec toute la diligence requise et où, par conséquent, aucune faute n’a été relevée dans son comportement ». Elle rappelle ainsi plusieurs sanctions, mais d’un ancien avis 3/2010 publié par l’ancêtre du CEPD, « dont les réflexions sont applicables aujourd’hui et qui indique que « l’essence » de la responsabilité proactive est l’obligation pour le responsable du traitement de mettre en œuvre des mesures qui, dans des circonstances normales, lui permettent de veiller à ce que dans le cadre des opérations de traitement, les règles de protection des données soient respectées et de disposer de documents [le] démontrant. » Téléfonica n’étant pas en mesure de démontrer sa conformité et sa bonne diligence, l’entreprise a été condamnée par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Espagne : 70 000 euros d’amende pour le partage d’images de vidéosurveillance sur Wechat

Le 21 juin 2024, l’autorité espagnole a publié une sanction à l’encontre d’une entreprise agroindustrielle CUI ZSQ FOOD pour avoir traité des données à caractère personnel d’un employé sans base légale, et pour ne pas avoir suffisamment garanti la confidentialité de ces données : en l’occurrence, à l’occasion d’un détournement de finalité par un employé de la société. Le 12 décembre 2022, une plainte est déposée par une personne qui déclare « qu’elle travaille chez le défendeur et que ses installations disposent d’un système de vidéosurveillance qui a été utilisé par l’entreprise, lorsqu’une personne est absente du travail pendant 18 minutes, pour menacer les employés par le biais d’un groupe sur l’application de téléphonie mobile WE CHAT, en montrant deux vidéos faisant allusion à la période d’absence de ladite personne. La plainte est accompagnée d’une copie des vidéos postées dans le chat et d’images du chat, en chinois, et d’une traduction en espagnol par un traducteur-interprète chinois assermenté. »  L’enquête de l’AEPD a d’abord conclu à la clôture de la plainte : l’entreprise arguait en effet qu’il n’était pas possible d’identifier une personne et qu’aucun travailleur n’a été puni ou réprimandé pour cet évènement mais aussi que c’était une réaction à chaud de la personne chargée du suivi de la protection (au regard du préjudice pour l’entreprise).

Toutefois, la plaignante réouvre l’affaire à l’occasion d’un recours et a obtenu gain de cause, l’AEPD estimant que « la diffusion dans une application de messagerie d’une vidéo dans laquelle une personne de sexe féminin est identifiée dans son environnement de travail, temporairement absente de son poste et revenant quelques minutes plus tard, sans qu’il existe une base légale pour un tel traitement, est contraire à la réglementation en matière de protection des données. » L’AEPD a également estimé que « la confidentialité des données personnelles du travailleur susmentionné et des autres employés visibles dans l’enregistrement a été violée » du fait de cette diffusion.
En conséquence, l’entreprise a été condamnée à payer une amende de 70 000 euros, qui peut être réduite à 42 000 euros en cas de paiement volontaire et en cas de reconnaissance de responsabilité (ce qui n’est pas le cas à ce jour).

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

 Vodafone condamné à payer une amende 200 000€ pour avoir fourni des duplicata de cartes SIM à des escrocs (« SIM swapping »)

Dans cette affaire, l’AEPD estime notamment que « les actions signalées par la plaignante ont été classées comme frauduleuses, en particulier le duplicata de carte SIM non reconnu. Un duplicata de carte SIM a été traité le 6 décembre 2022, géré par téléphone, ainsi qu’une précédente demande de duplicata de carte SIM le 5 décembre 2022, qui est cependant enregistrée comme annulée par la plaignante elle-même ». En conséquence, elle estime que « la diligence employée par Vodafone pour identifier la carte SIM est discutable. En tout état de cause, la procédure de vérification mise en œuvre par Vodafone n’a pas été suivie car, si elle l’avait été, la demande aurait dû être refusée. En vertu du principe de la responsabilité proactive, le responsable du traitement doit être en mesure de démontrer comment il respecte les principes du traitement et des bases de légitimité. principes et les bases de la légitimité. Au vu de ce qui précède, Vodafone ne prouve pas qu’une telle procédure a été suivie, il y a donc eu un traitement illicite des données à caractère personnel du plaignant, en violation de l’article 6 du RGPD. » En conséquence, Vodafone est condamné par l’AEPD à payer une amende de 200 000€.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’autorité espagnole de protection des données ordonne une mesure conservatoire qui empêche Worldcoin de continuer à traiter des données à caractère personnel en Espagne.

Par une décision du 6 mars 2024, l’AEPD exige de Worldcoin (outil permettant de créer une identité numérique via l’iris des personnes concernées) la cessation de la collecte et du traitement de données à caractère personnel sensibles (en l’occurrence, biométriques) ainsi que le blocage des données déjà collectées. L’AEPD indique avoir reçu plusieurs plaintes dénonçant des informations insuffisantes, la collecte de données auprès de mineurs et l’impossibilité de retirer son consentement, entre autres infractions. L’AEPD précise que cette décision est basée sur des circonstances exceptionnelles, où il est nécessaire d’adopter des mesures visant à la cessation immédiate des activités de traitement afin d’éviter le transfert éventuel de données à des tiers et de sauvegarder le droit fondamental des personnes à la protection des données à caractère personnel.
Enfin, cette interdiction temporaire d’activité, limitée à l’Espagne, est valable pour une période maximale de trois mois.

[Ajout contextuel Portail RGPD: Si l’article 58 du RGPD donne effectivement aux autorités de contrôle le pouvoir « d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement », il s’agit jusqu’à présent d’une possibilité qui n’a été que très peu utilisée, probablement au regard des conséquences qu’elle peut avoir sur l’activité économique de la société concernée et/ou sur la liberté d’entreprendre. Cela pourrait expliquer pourquoi l’AEPD a tenu à préciser que des « circonstances exceptionnelles » sont à l’origine de cette décision.]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut