Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

A partir de novembre, l’autorité finlandaise n’acceptera plus les emails en ce qui concerne l’envoi d’informations confidentielles

Dans un communiqué publié ce jour, l’autorité finlandaise à annonce qu’à partir du 1.11.2024, et pour des raisons de sécurité elle ne pourra recevoir des messages de sécurité que par l’intermédiaire du service Safe Messaging fourni par Valtor. Les documents confidentiels ou sensibles peuvent également être envoyés via nos formulaires de notification électronique dans le service « Security Form » de Valtor. Cette approche permettra de renforcer la sécurité et d’harmoniser les pratiques de l’Autorité.

L’autorité précise qu’il est recommandé d’utiliser le service SMS s’il n’y a pas de formulaire en ligne disponible. En utilisant les formulaires électroniques prévus à cet effet, les organisations peuvent signaler des violations de données à caractère personnel, envoyer une demande de consultation préalable ou les coordonnées de leur délégué à la protection des données. Les personnes peuvent envoyer des demandes d’exercice de leurs droits en tant que personnes concernées et signaler des cas de mauvaise administration dans le traitement des données à caractère personnel.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

L’autorité finlandaise considère qu’un opérateur de télécommunications a le droit de conserver les données de ses clients mobiles pendant trois ans après la fin de leur abonnement

Suite à une plainte d’un client, l’autorité a enquêté sur la politique de l’opérateur de télécommunications en matière de suppression des données des clients. Le client avait demandé à l’opérateur de télécommunications de supprimer toutes les données personnelles le concernant que l’opérateur avait en sa possession. L’opérateur de télécommunications n’a pas donné suite à cette demande. L’autorité a estimé qu’une période de conservation de trois ans était justifiée parce que les données à caractère personnel peuvent être nécessaires après la fin de la relation avec le client, par exemple en ce qui concerne les dossiers en cours, la facturation ou les réclamations. L’opérateur de télécommunications n’était donc pas obligé de supprimer les données des clients qui avaient été conservées pendant moins de trois ans après la fin de la relation avec le client.

Dans sa décision, l’autorité a également évalué si l’opérateur de télécommunications avait agi illégalement en ne supprimant pas les données datant de plus de trois ans, malgré la demande du client. Les données personnelles en question concernaient une relation client qui avait pris fin plus de dix ans auparavant. Les données n’avaient pas été automatiquement effacées des systèmes informatiques en raison d’une erreur technique et l’opérateur de télécommunications ne les avait pas supprimées, même à la demande du client. Le contrôleur adjoint a adressé un avertissement à l’opérateur de télécommunications pour comportement répréhensible. Selon le règlement général sur la protection des données, les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées.

L’autorité précise néanmoins que cette décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Helsinki visée par une cyberattaque d’ampleur

La ville d’Helsinki a informé le bureau du délégué à la protection des données d’une violation de données dans le domaine de l’éducation et de la formation 30.4. Selon les informations fournies par la ville d’Helsinki, la violation de données a été consultée par 38 000 employés de la ville d’Helsinki et, dans le pire des cas, la violation de données affecte plus de 80 000 étudiants et leurs tuteurs. Le bureau du délégué à la protection des données a immédiatement pris des mesures lorsque l’affaire a été révélée.  Dans la première phase, il a été ordonné à la ville d’informer de la violation de la sécurité. Le bureau du délégué à la protection des données continuera d’enquêter sur l’affaire. La ville a été invitée à des éclaircissements par 5.6.” « Selon les informations actuelles, il s’agit d’un incident grave. Dans de tels cas, il est important que les personnes soient informées de la violation de données dès que possible afin qu’elles puissent se protéger des conséquences », a déclaré la commissaire adjointe à la protection des données, Annina Hautala.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ACCP (autorité chypriote)

La Commission chypriote à la protection des données donne son feu vert à l’installation de systèmes de vidéosurveillance dans les écoles, en dehors des heures de cours.

D’après le communiqué de presse, « le ministère de l’éducation et de la jeunesse a réalisé une étude d’impact sur le fonctionnement d’un système de vidéosurveillance en circuit fermé (CCTV) dans les écoles pour la prévention et le traitement de la violence et de la délinquance, qu’il a soumise à la commission à des fins de consultation. À la lumière de ce qui a été présenté et suite à la confirmation hier de l’adoption des derniers commentaires et suggestions de l’autorité, celle-ci a constaté que l’analyse d’impact répond aux exigences de l’article 35 du GDPR et a approuvé l’installation de CCTV dans les écoles. Par conséquent, l’ACCP, en tant que responsable du traitement, est en mesure de lancer les activités et opérations de traitement pertinentes qui ont fait l’objet de l’analyse d’impact présentée.
Dans un premier temps, le fonctionnement du CBC sera lancé à titre pilote dans 10 unités scolaires. »

La commission en a également dévoilé un peu plus sur le contenu de cette AIPD, ainsi que sur le traitement:
« α. Des caméras vidéo seront installées aux entrées/sorties principales des unités scolaires, ainsi qu’à leurs abords.
β. La portée de l’enregistrement sera limitée aux limites des unités scolaires et aucune zone privée ou publique adjacente ne sera enregistrée.
c. La vidéosurveillance sera activée en dehors des heures de cours.
δ. Le matériel visualisé sera stocké pendant une période de 72 heures.
ε. Accès strictement limité au matériel audiovisuel.
f. Des panneaux d’avertissement seront installés pour information. »

Disponible (en grec) sur: dataprotection.gov.cy
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Verkkokauppa condamné à une amende de 856.000 € par l’autorité finlandaise pour n’avoir pas précisé la durée de conservation des données relatives aux clients et pour les avoir obligés à créer un compte

La CNIL finlandaise a imposé une amende administrative de 856 000 euros à Verkkokauppa pour n’avoir pas précisé la durée de conservation des données des comptes clients du commerce électronique. En outre, la pratique de Verkkokauppa consistant à exiger la création d’un compte client pour effectuer des achats en ligne était contraire aux règles de protection des données, en particulier aux règles en matière de Privacy by design & by default, mais également aux règles liées aux durées de conservation. En particulier, l’autorité considère que  « 44. La pratique du responsable du traitement consistant à exiger l’enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n’était pas conforme à l’article 5, paragraphe 1, point e), et à l’article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat. » Selon elle, la création d’un compte client ne doit donc pas être une condition préalable pour effectuer des achats individuels en ligne, pas plus que le stockage de données personnelles que cette pratique entraîne.

Verkkokauppa a annoncé qu’il ferait appel de la décision devant le tribunal administratif.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut