Dernières actualités : données personnelles

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour le responsable de traitement ayant continué d’envoyer des emails de publicité malgré la désinscription du plaignant

Après s’être inscrit à la lettre d’information de l’APP après avoir fourni l’adresse électronique comme méthode de contact dans un magasin, un utilisateur a essayé à plusieurs reprises de se désinscrire en utilisant le lien fourni dans les courriels de la lettre d’information mais, bien qu’il ait reçu une confirmation de la réception (et du traitement) de sa demande de désinscription par courrier électronique, il a continué à recevoir des courriels publicitaires.

L’utilisateur dépose alors une plainte auprès de l’autorité espagnole, et, celui n’ayant pas manqué de joindre des preuves, et le responsable de traitement n’ayant pas répondu à la lettre que l’AEPD lui a envoyé, celle-ci a décidé d’entamer une procédure de sanction. Résultat: 5 000 euros d’amende à payer pour le responsable de traitement, pour ne pas avoir respecté l’article 21 de la LSSI (la loi locale sur la protection des données) selon laquelle « l‘envoi de communications publicitaires ou promotionnelles par courrier électronique ou tout autre moyen équivalent de communication électronique qui n’a pas été préalablement demandé ou expressément autorisé par les destinataires de ces communications est interdit. »

Morale de l’histoire ? Pensez à vérifier le bon fonctionnement de vos systèmes !

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut