Dernières actualités : données personnelles

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Amende de 2000 euros pour une coopérative agricole grecque en raison d’un système de vidéosurveillance non conforme

Ce vendredi 13 septembre, l’autorité de protection des données grecque a publié une décision de sanction à l’encontre de la coopérative agricole de l’huile d’olive de Stylida, pour avoir illégalement mis en œuvre un système de vidéosurveillance. Comme très souvent, une plainte est à l’origine de cette affaire, en l’occurrence du syndicat des employés de la coopérative, arguant notamment que « la caméra de la zone de production, que l’A.E.S.S. prétend virtuelle, fonctionne en fait normalement et enregistre les mouvements et les performances des travailleurs », mais aussi que d’autres lieux tels que les toilettes et les vestiaires sont également filmés.

La DPA ouvre l’enquête et rejette la plupart des motifs de plainte (faute de preuves) mais a tout de même relevé des lacunes de la part de l’AESA en ce qui concerne

• La minimisation des données, le champ de certaines caméras étant plus large que ce qui est nécessaire ;
• La mise en œuvre de mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adéquat contre les risques, conformément à l’article 32 du GDPR ;
• L’information des employés, qui n’était pas écrite mais qui a uniquement été donnée oralement aux membres du « CESE » lorsque la décision d’installer les caméras a été prise.

En conséquence, l’autorité a infligé une amende administrative de 2 000 euros au responsable du traitement et a ordonné la réception des mesures techniques et organisationnelles requises.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Belgique : l’APD estime que les pratiques de NOYB en matière de plainte et de représentation constituent un abus de droit

A l’occasion d’une décision rendue le 6 septembre, l’APD a rejetté une affaire … en raison, notamment, d’un abus de droit qui aurait été commis par NOYB.
Cette affaire commence avec une plainte réalisée par NOYB (au moyen d’un mandat) concernant le suivi présumé du plaignant par l’éditeur d’un site web (flair.be). Au cours de ce processus, un code HTML (pour l’outil Google Analytics) aurait été intégré via le site web du premier défendeur, qui pourrait être lié au compte du plaignant auprès du deuxième défendeur. Le plaignant affirme que les données à caractère personnel correspondantes ont été transférées illégalement aux États-Unis d’Amérique dans ce contexte.

L’Inspection (dont l’autorité note qu’il s’agit d’un corps indépendant de la Chambre des Litiges) décide de se pencher sur la légalité du mandat et du modèle d’action de NOYB. Le rapport d’enquête note ainsi « que les demandes traitées par NOYB qui ont été soumises à l’APD en août 2020 ont utilisé une méthode semi-automatique d’envoi “en masse”, mais également que les différentes demandes d’enquête soumises en août 2020 avaient le même format et la même signature. Des documents supplémentaires ont été envoyés à plusieurs reprises dans un courriel lié […] Pour les différentes demandes, la même personne concernée revient sans cesse et a donné un mandat à NOYB […]. L’autorité note également que le contenu du mandat montre également que NOYB n’a pas été correctement mandaté  car plusieurs éléments du mandat n’étaient pas détaillés, ou formulés de manière peu claire ou ambiguë. En outre, le plaignant était en réalité un stagiaire de NOYB au moment où le mandat a été donné.  Enfin, le rapport estime qu’en raison du manque de transparence concernant le modus operandi de NOYB, la perception est donc créée au moins que NOYB utilise ses employés pour servir ses intérêts soumettant des demandes/plaintes plutôt que […] l’intérêt personnel d’un plaignant.  En outre, l’enquête  confirme l’indication selon laquelle il s’agit d’un usage abusif de la procédure en vertu de l’article 80 du RGPD. L’Inspection note que les stagiaires pour les demandes susmentionnées en 2021 ont été systématiquement répertoriés comme « plaignants » dans les activités de NOYB. Cela est l’indice d’un conflit d’intérêts. »

La Chambre des Litiges (dont le rôle est de décider des suites à donner) décide d’analyser la situation, et rejette finalement la plainte pour les raisons suivantes :

1 – Le fait que la plainte ait été déposée sur la base d’un « cas modèle » préétabli par NOYB crée un intérêt artificiel (à agir) et constitue un abus de droit : l’artificialité de la construction est prouvée, selon la Chambre, puisque l’identité des sous-traitants et les griefs soulevés n’ont pas été identifiés par le plaignant en question (mais à l’avance par le représentant), et par les brèves visites du site web par le plaignant en question, observées par l’Inspection et indiquées par les deux défendeurs dans leurs défenses. Le représentant déclare publiquement que cette plainte s’inscrit dans le cadre d’un projet général relatif aux transferts de données.40 Il a été déclaré lors de l’audition que les stagiaires peuvent « devenir » une personne concernée sans aucune obligation.

2 – Un mandat fictif en invoquant des griefs et un contrôleur préétablis dans le cadre d’un stage : les griefs sont préétablis au nom du plaignant, de la même manière que le modus operandi avec les mandats en vertu de l’article 80, paragraphe 1, du GDPR est préétabli. En outre, l’identité du responsable du traitement sollicité est également établie par le représentant avant que le plaignant n’accepte le « cas modèle » et n’accorde un mandat à cet égard.

3 – Une construction artificielle visant à soulever des questions générales et accessoires pour les objectifs politiques d’une association : comme le note à juste titre l’Inspection à cet égard, il existe un conflit d’intérêts potentiel, ou du moins des intérêts différents, en l’occurrence. Dans le cadre d’un mandat de représentation, le représentant doit privilégier les intérêts du plaignant et ne pas poursuivre ses propres objectifs politiques.

Disponible (en anglais) sur : autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.