Dernières actualités : données personnelles

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Peine de prison avec sursis pour d’anciens employés de RAC pour avoir volé des informations personnelles

Deux anciens employés du RAC ont été condamnés à une peine de prison avec sursis et à 150 heures de travail non rémunéré pour avoir illégalement copié et vendu plus de 29 500 lignes d’informations personnelles.
D. Okparavero, 61 ans, de Salford, et M. Islam, 51 ans, de Manchester, travaillaient comme spécialistes du service clientèle au centre d’appel de l’entreprise « RAC » (proposant des services automobiles) à Stretford. Leur comportement illégal a été découvert par l’entreprise, qui l’a signalé à l’ICO, après l’installation d’un nouveau logiciel de contrôle de la sécurité.

Le logiciel a montré qu’Okparavero avait illégalement accédé à des informations personnelles concernant des personnes impliquées dans des accidents de la route et les avait copiées. Une fouille ultérieure du téléphone portable d’Okaparavero a révélé que les informations avaient été partagées dans une discussion WhatsApp avec Islam. Les messages indiquaient qu’un tiers payait pour obtenir ces informations. En conséquence, lors d’une audience à Minshull Street Crown Court le 8 octobre 2024, Okparavero et Islam ont été condamnés à des peines de prison de 6 mois, suspendues pendant 18 mois, et chacun a reçu l’ordre d’effectuer 150 heures de travail non rémunéré. Les deux accusés avaient précédemment plaidé coupables d’infractions à la loi de 1990 sur l’utilisation abusive des ordinateurs et à la loi de 2018 sur la protection des données. Les frais de poursuite seront examinés lors d’une audience sur les produits du crime prévue le 5 mars 2025.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un vendeur de voitures condamné à une amende pour avoir conservé et vendu des données à des concurrents

Quelques mois après la publication d’une sanction envers un stagiaire de Rent-A-Car pour avoir traité des données illégalement, c’est cette fois au tour d’un vendeur de « Laeseline Vehicle Management Ltd » d’être condamné pour avoir vendu des données à des concurrents.

Peu avant de démissionner de son poste de conseiller commercial chez Leaseline Vehicle Management Ltd, Alexander D., 44 ans, a vendu plus de 3 600 informations personnelles qu’il avait extraites de la base de données interne des clients de l’entreprise. Il a contacté plusieurs entreprises concurrentes avec ces informations, tout en prétendant que les données lui appartenaient. La violation a été découverte en novembre 2022 et a fait l’objet d’une enquête de l’ICO. L’homme a plaidé coupable d’avoir obtenu et vendu illégalement des données, en violation de l’article 170 de la loi sur la protection des données de 2018. Il a comparu devant la St Albans Crown Court le mardi 17 septembre, où il a été condamné à payer une amende de 1 200 livres sterling et 300 livres sterling de frais.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Espagne : sanction d’un établissement de crédit pour traitement illicite après une usurpation d’identité

La semaine dernière, l’autorité espagnole (AEPD) a publié une sanction à l’encontre de la société Wenance Lending de España, S.A. (WELP ou WENANCE), une société de prêt en ligne, par laquelle elle prononce une amende de plus de 70 000 euros. pour violation de l’article 6 du RGPD selon lequel le traitement n’est licite que si une base légale appropriée est applicable.

Comme souvent, cette affaire commence avec la réclamation d’une personne, en l’occurrence, pour un traitement illégal de données personnelles. Le plaignant déclare que le 21 août 2020, il a vu une offre d’emploi sur le site web « milanuncios ». L’annonce indiquait le numéro de téléphone à contacter. Après avoir contacté ce numéro, le plaignant affirme avoir envoyé un selfie de lui-même avec une photo du recto et du verso de sa carte d’identité.
Peu de temps après, il dépose une réclamation affirmant que WELP lui impute une dette qui ne lui correspond pas, puisqu’elle découle de la contraction d’un prêt qui aurait été contracté frauduleusement le même jour.

L’AEPD ouvre une enquête au cours de laquelle il a été constaté que la procédure d’octroi du crédit établie par la défenderesse, en fonction du montant de la créance, était la suivante :
a) Remplir le formulaire de demande en indiquant vos données personnelles.
b) Soumission de la  photo de la pièce d’identité, recto et verso, selfie avec carte d’identité à la main, justificatif de revenus et copie du dernier bulle

[Ajout contextuel Portail RGPD: Autrement dit, l’arnaque était bien ficelée et visait à obtenir précisément ces éléments, ou en tout cas suffisamment afin de pouvoir falsifier le reste aisément.]

L’enquête a par ailleurs confirmé que le compte bénéficiant du prêt n’appartient pas au plaignant mais à une autre personne avec date d’enregistrement 20/08/2020 et date de radiation 15/01/2021. Le compte a été créé le 20 août 2020, un jour avant la conclusion du prêt faisant l’objet de la plainte. Il a été vérifié que l’adresse électronique et le numéro de téléphone utilisés pour contracter le prêt et qui apparaissent dans les bases de données de WELP ne coïncident pas avec l’adresse électronique et le numéro de téléphone que la Banque SANTANDER possède dans ses bases de données et que le plaignant a utilisés pour contacter WELP. Par ailleurs, WELP n’a pas fourni la preuve de la propriété du compte bancaire qu’elle était censée avoir vérifié manuellement pour contracter le prêt.

Compte tenu de ces éléments, l’autorité espagnole considère que le traitement des données à caractère personnel de la plaignante par WENANCE, qui a enregistré un contrat de crédit à la consommation en son nom, n’était couvert par
aucune des bases juridiques énoncées à l’article 6 du RGPD. Elle estime ainsi que la banque a procédé à un traitement illicite de données à caractère personnel et l’a condamné à une amende.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un homme de Porthcawl condamné après une escroquerie « effrontée » à la voiture d’une valeur de plusieurs centaines de milliers de livres sterling

Un homme qui avait accédé illégalement à des données personnelles a été condamné à la suite de notre enquête.

Jonathan Riches, 46 ans, a plaidé coupable d’une infraction à l’article 55 de la loi de 1998 sur la protection des données (Data Protection Act 1998) devant la Cardiff Crown Court. Le tribunal a appris que Riches avait accédé illégalement aux données d’automobilistes d’Enterprise Rent-A-Car et qu’il avait poursuivi des réclamations pour dommages corporels à des fins lucratives. Les infractions ont été commises entre 2009 et 2011. M. Riches était auparavant un employé d’Enterprise Rent-A-Car, qu’il a quitté en 2009 pour créer son propre cabinet de réparation de dommages corporels. Il était toujours en contact avec d’anciens collègues, ce qui lui permettait d’obtenir illégalement les coordonnées de personnes impliquées dans des accidents de la route et de les contacter pour leur proposer des services juridiques. À un moment donné, M. Riches, par l’intermédiaire de ses complices, a eu accès à la base de données interne d’Enterprise, ce qui lui a permis d’accéder aux données personnelles des clients.

Le juge Francis a condamné M. Riches à une amende de 10 000 livres sterling et à des frais de 1 700 livres sterling.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Transmission d’une adresse postale incomplète au fichier des incidents bancaires : une banque espagnole condamnée à une amende de 200 000 euros

Il y a quelques jours, une banque espagnole s’est vue condamnée à payer une amende de 200 000 euros en raison de manquements au principe d’exactitude des données. Cette affaire commence avec un incident bancaire comme il en arrive tous les jours, en l’occurrence en raison d’un solde débiteur sur la carte de crédit de la personne : conformément aux procédures en vigueur, la banque espagnole a signalé cet incident auprès du fichier recensant de telles incidents. Néanmoins, l’adresse communiquée par la banque au gestionnaire du fichier n’était pas « l’adresse exacte du défendeur, et était incomplète ».

Le particulier qui a découvert le pot-au-roses à l’occasion de demandes de crédit, a ainsi déposé une plainte. L’enquête de l’AEPD a montré que la notification d’inscription au fichier des incidents n’avait pas pu être délivrée par les services postaux et était revenue pour raison de « signes incorrects ». Malgré cela, la banque a indiqué au gestionnaire de fichier que l’adresse était bien correcte sans avoir au préalable vérifié auprès de leur client.
Il est notable que cette erreur a eu des conséquences importantes sur le plaignant en raison du refus de ses demandes de crédit, ce qui ne serait peut-être pas arrivé si cette inexactitude avait été corrigée : en effet, la procédure veut qu’avant l’inscription au fichier des incidents bancaires, des demandes de paiement soient envoyées au client : celles-ci n’ont peut-être pas été reçues, même si la banque a signalé lors de l’enquête que les lettres n’avaient pas été retournées. Cela étant dit, il est d’usage de « nettoyer » ses comptes avant de faire des demandes de crédit (afin d’augmenter ses chances), de telle sorte que cette dette aurait probablement été payée si le client en avait eu connaissance.

Quoi qu’il en soit, cette erreur a couté cher à la banque puisque l’AEPD estime que «  » le fait que le défendeur n’ait pas fourni l’adresse exacte du demandeur a causé un grave préjudice à ce dernier, car il n’a pas pu avoir connaissance de son inscription au fichier de solvabilité, étant donné que l’avis d’inscription au fichier de solvabilité a été envoyé à une adresse électronique inexacte, qui n’avait pas été mise à jour par le défendeur, ce qui entraîne une violation du
principe d’exactitude régi par l’article 5.1 d) du RGPD. » La banque a ainsi été condamnée à une amende de 200 000 euros mais n’en a finalement payé « que » 120 000 : la société a reconnu sa responsabilité et a ainsi pu bénéficier d’une réduction, et d’une autre réduction appliquée dans le cas d’un paiement volontaire.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole) via GDPRHub

La banque 4Finance Spain s’acquitte d’une amende de 360 000€ pour des défauts de sécurité

Le 07 mai 2024, l’AEPD a infligé une amende de 600 000 euros à l’ établissement de crédit 4Finance Spain pour insuffisance des mesures de sécurité, notamment l’absence d’authentification à deux facteurs lors de l’approbation des prêts. Conformément à la loi 39/2015, une loi espagnole concernant les procédures administratives, l’AEPD a informé le responsable du traitement qu’il pouvait reconnaître sa responsabilité dans les violations présumées et/ou payer l’amende proposée. Chacune de ces actions réduit l’amende imposée de 20 %. Le responsable du traitement a choisi de réduire l’amende de 40 %, en reconnaissant sa responsabilité pour les violations et en payant le montant réduit de la sanction de 360 000 €.

En l’espèce, entre août et novembre 2022, le responsable du traitement a reçu plus d’une dizaine de plaintes relatives à des prêts non sollicités étant apparus sur leur compte. Le responsable du traitement a évalué les niveaux de risque et la gravité de ces violations en utilisant une méthode interne basée sur les normes de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et a déterminé qu’il n’était pas nécessaire de notifier la violation à l’AEPD ou aux parties concernées.

De son côté, l’AEPD a également reçu plusieurs plaintes de personnes concernées, qui étaient des clients du responsable du traitement, alléguant des prêts non sollicités similaires sur leurs comptes. Le 14 février 2023, le responsable du traitement a finalement déclaré avoir pris connaissance d’une violation de données affectant les données à caractère personnel de ses clients et employés. La violation a affecté 9636 personnes concernées et comprenait des noms, des dates de naissance, des numéros d’identification nationaux, des numéros d’identité d’étrangers, des numéros de passeport ou de document d’identification, des données de paiement (telles que les banques et les cartes) et des informations de contact. Sur ces personnes, 139 ont été victimes de fraudes consistant à contracter des prêts au nom des personnes concernées et à les contacter via WhatsApp en se faisant passer pour le responsable du traitement et en demandant le remboursement du montant sur un numéro de compte contrôlé par les pirates.

En raison de l’insuffisance des évaluations des risques et des mesures de sécurité du responsable du traitement, ainsi que de l »insuffisance de l’évaluation des risques, l’AEPD a décidé d’engager une procédure de sanction à l’encontre du responsable du traitement et a recommandé une sanction de 600 000 euros, finalement réduite.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

ICO (autorité anglaise)

Le stagiaire du loueur de voitures ‘Rent-A-Car’ condamné à une amende de 300€ pour avoir obtenu illégalement des données sur ses clients

Un ancien stagiaire en gestion chez Enterprise Rent-A-Car UK Limited (« Rent-A-Car ») a été condamné à payer une amende d’environ 300€ après avoir admis avoir obtenu illégalement des données de clients entre le 18 mars 2019 et le 1er avril 2019, alors que l’entreprise n’avait pas consenti à ce qu’il obtienne ces données, déclarant que l’accès à ces informations ne relevait pas de son rôle et qu’il n’y avait pas de nécessité professionnelle à ce qu’il le fasse.

Dans cette affaire, les préoccupations initiales ont été soulevées après que S. Saleem, 42 ans, se soit rendu sur son lieu de travail dans le West Yorkshire en dehors des heures prévues, le dimanche 31 mars 2019. Un audit interne a révélé qu’il avait passé 32 minutes à accéder à 39 enregistrements de données clients concernant 25 agences de location différentes. À la suite de cela, Rent-A-Car a mené une enquête interne qui a révélé que Saleem avait accédé à un certain nombre d’enregistrements contenant des données personnelles au cours de la période incriminée en 2019 – au total au moins 213 dossiers ont été consultés illégalement. Il a été licencié pour faute grave peu de temps après avant d’être condamné par l’ICO.

[Ajout contextuel Portail RGPD: Habituellement, les noms des personnes physiques condamnées par les autorités de protection des données ne sont pas publiés. Ici, la décision (non publiée) est rendue par une Cour pénale britannique – leur culture admettant plus facilement le « name-and-shame » que la notre : malgré tout, la décision de publier le nom du stagiaire pourrait lui causer un préjudice important allant bien au delà de la sanction financière – et ce alors même que les faits se sont déroulés il y a plus de 5 ans. Par exemple, n’importe quel futur employeur de ce stagiaire qui prendrait la peine de taper son nom risquerait fort de rejeter sa candidature. Enfin, il est notable que la durée de la publication intégrant le nom du stagiaire n’a pas été précisée dans la publication.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut