Dernières actualités : données personnelles – Page 2

GPDP (autorité italienne)

30 mai 2024

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

ICO (autorité anglaise)

23 mai 2024

PSNI risque une amende de 750 000 livres sterling à la suite d’une erreur de tableur qui a exposé les informations personnelles de l’ensemble de son personnel.

L’ICO a annoncé son intention d’infliger une amende de 750 000 livres sterling au Service de police d’Irlande du Nord (PSNI) pour n’avoir pas protégé les informations personnelles de l’ensemble de son personnel.
L’amende proposée est liée à un incident au cours duquel des informations personnelles – y compris le nom de famille, les initiales, le grade et le rôle de l’ensemble des 9 483 officiers et employés du PSNI – ont été incluses dans un onglet « caché » d’une feuille de calcul publiée en ligne en réponse à une demande d’accès à l’information. L’enquête menée par l’ICO a révélé que les procédures internes et les protocoles d’approbation du PSNI pour la divulgation sécurisée d’informations étaient inadéquats.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

16 mai 2024

Les services de l’enfance de Birmingham réprimandés après avoir divulgué de manière inappropriée les informations personnelles d’un enfant

L’ICO a annoncé avoir adressé un blâme à la Birmingham Children’s Trust Community Interest Company après que les informations personnelles d’un enfant ont été divulguées de manière inappropriée à une autre famille. Le service de protection et de révision des enfants de la Birmingham Children’s Trust Community Interest Company, qui appartient au conseil municipal de Birmingham, travaillait avec deux familles voisines lorsque la violation de données s’est produite. Un plan de protection de l’enfance a en effet été communiqué à l’une des familles, qui contenait à la fois des informations personnelles et des allégations criminelles concernant un enfant de la famille voisine. Ces informations ont été incluses par erreur après avoir été copiées à partir de procès-verbaux de réunions.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

BBC

12 mai 2024

Violation des données du ministère de la défense UK : Les données personnelles des forces armées britanniques ont été consultées lors d’un piratage

Selon la BBC, les informations personnelles d’un nombre indéterminé de militaires britanniques en service ont été consultées dans le cadre d’une importante violation de données. Le piratage a visé un système de paie géré par un contractant externe et utilisé par le ministère de la défense, qui comprend les noms et les coordonnées bancaires des membres actuels et de certains anciens membres des forces armées. Dans un très petit nombre de cas, les données peuvent également inclure des adresses personnelles. On ne sait pas qui est à l’origine de ce piratage ni à quoi les données pourraient servir. Les données, décrites comme des « informations personnelles de type HMRC (= fiscales) », concernent des membres actuels et anciens de la Royal Navy, de l’Army et de la Royal Air Force sur une période de plusieurs années.
Selon la BCC, le ministère de la défense ait pris des mesures immédiates et que le système ait été mis hors ligne, tandis que des enquêtes sont en cours.

Disponible (en anglais) sur: bbc.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

28 mars 2024

La société NTT Data a été condamnée à une amende de 800 000 euros pour avoir engagé un sous-traitant secondaire sans l’autorisation préalable du responsable du traitement et pour avoir notifié tardivement une violation de données au responsable du traitement.

Dans une décision n°9991064 en date du 08 février 2024, l’autorité de protection des données a condamné la société NTT Data Italia S.p.A, en sa qualité de sous-traitant, notamment pour ne pas avoir informé le responsable de traitement suffisamment rapidement à l’occasion de la découverte d’une violation, ce qui a empêché le responsable de traitement de réaliser la notification adéquate dans les 72h.
Le déroulé des faits est le suivant:
– Le 10 octobre, le sous-traitant ultérieur a pris connaissance des vulnérabilités du portail mobile
– Il les a identifiées comme étant de haut niveau. Il les a signalées au sous-traitant initial le 19 octobre 2018
– Le sous-traitant ne les a ensuite signalées au responsable du traitement que le 22 octobre 2018.

Traduction par machine du point 4. c) de la décision de l’autorité :
« À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures « .
Il en va de même lorsque, comme en l’espèce, un responsable du traitement fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte d’un responsable du traitement ; l’obligation d’informer le responsable du traitement prévue par l’article 33, paragraphe 1, de la directive sur le traitement des données à caractère personnel s’applique également lorsque le responsable du traitement fait appel à un sous-traitant ultérieur reste à la charge du sous-traitant initial, qui n’est pas tenu d’évaluer le risque dérivant de la violation, avant de le communiquer au responsable du traitement […].
En l’espèce, NTT Data aurait donc dû informer le responsable du traitement de la violation de données à caractère personnel sans délai, c’est-à-dire à partir des 11 et 12 octobre 2018, date à laquelle elle en a eu connaissance par l’intermédiaire de Truel IT [alors que Truel IT n’a informé le sous-traitant initial que le 19 octobre]. »

[Ajout contextuel Portail RGPD: Selon l’autorité italienne, il doit donc être considéré qu’un sous-traitant initial a découvert une violation dès lors que l’un de ses sous-traitants ultérieurs a réalisé une telle découverte, même dans le cas où ce premier n’en a pas été informé – ou ne l’a été que bien plus tard. Bien que logique puisqu’une interprétation contraire ne permettrait pas de respecter le délai de « 72h à compter de la découverte » prévu par le RGPD pour les traitements, une telle interprétation
* fait peser de lourds risques sur les sous-traitants initiaux, qui devront imposer des délais difficilement tenables à leurs éventuels sous-traitants ultérieurs afin que le responsable de traitement puisse tenir ses délais (en particulier si les sous-traitants ultérieurs ont eux-mêmes des sous-traitants),
* oblige à réduire les chaines de sous-traitance autant que possible afin d’éviter de se trouver dans une situation similaire.]

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.