Dernières actualités : données personnelles

GPDP (autorité italienne)

L’autorité italienne donne à la plus grande banque italienne 20 jours pour informer ses clients de la violation des données qu’elle a subi

Dans un article publié ce jour, l’autorité italienne a annoncé avoir donné 20 jours à Intesa pour informer les clients concernés par la violation de leurs données personnelles et bancaires, survenue à la suite d’un accès indu de la part d’un employé de la banque aux données de plusieurs milliers de clients. L’Autorité considère, contrairement à l’évaluation de la banque, que la violation de données à caractère personnel présente un risque élevé pour les droits et libertés des personnes concernées, compte tenu de la nature de la violation, des catégories de données traitées, de la gravité et des conséquences qui pourraient en résulter (par exemple, divulgation d’informations concernant la situation financière, atteinte à la réputation).

L’autorité italienne note que, dans les premières communications envoyées par la Banque au Garante, l’ampleur de la violation n’avait pas été suffisamment mise en évidence, comme l’ont révélé par la suite tant les articles de presse que les commentaires fournis par la Banque elle-même. La Garante, qui se réserve le droit d’évaluer l’adéquation des mesures de sécurité adoptées dans le cadre d’une enquête en cours, a ainsi également ordonné à la Banque de fournir à l’Autorité, dans un délai de trente jours, un retour d’information suffisamment documenté sur les mesures prises pour mettre pleinement en œuvre les exigences.

[Ajout contextuel Portail RGPD: La presse note en particulier que les comptes de 3 500 clients d’Intesa Sanpaolo, y compris ceux de la Première ministre Giorgia Meloni et de l’ancien Premier ministre Mario Draghi, ont été potentiellement été compromis entre février 2022 et avril 2024 et ont été indument consultés par l’employé concerné. Normalement, les employés d’Intesa n’ont de visibilité que sur les clients dont ils ont besoin de voir les données pour exercer leurs fonctions. Néanmoins, du fait de sa fonction, l’employé concerné avait accès à de très nombreuses données, et en a profité.]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Données volées : l’autorité italienne annonce la création d’une task force interdépartementale

L’autorité italienne a annoncé ce jour avoir créé une task force interdépartementale afin de travailler sur le sujet des données volées.  « Le phénomène de l’accès non autorisé aux bases de données publiques et privées a toujours retenu l’attention du Garant pour la protection des données personnelles », déclare le président Pasquale Stanzione, “et il a fait l’objet, au fil des ans, de nombreuses mesures visant à renforcer les mesures de sécurité d’un point de vue technique et organisationnel”.

Suite à de récentes informations parues dans la presse, poursuit le président, nous avons créé un groupe de travail interdépartemental impliquant les secteurs concernés afin d’identifier rapidement les activités à entreprendre et les meilleures garanties pour protéger les bases de données. Nous avons notamment défini des mesures de sécurité, tant techniques qu’organisationnelles, adéquates en ce qui concerne l’accès du personnel autorisé, mais aussi toutes les opérations effectuées par les personnes chargées de leur gestion et de leur maintenance. En plus de poursuivre les activités d’inspection auprès des entreprises déjà identifiées ».

Ces dernières années, en effet, les rapports reçus font état d’une augmentation du phénomène lié à la revente d’informations confidentielles contenues dans des bases de données publiques par des sociétés privées« , conclut M. Stanzione, “qui, en recourant également à des agences d’enquête privées, offrent des services d” »information d’investigation« à toute personne intéressée, y compris par le biais de mécanismes opaques de récupération de données ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Sanction de 80.000 euros à une entreprise qui faisait des sauvegardes pendant la relation de travail

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné une entreprise à hauteur de 80.000 euros pour avoir, au cours de la relation de travail, utilisé un logiciel pour sauvegarder ses courriers électroniques, en conservant à la fois le contenu et les logs d’accès au courrier électronique et au système de gestion de la société. Les informations collectées ont ensuite été utilisées par l’entreprise dans le cadre d’un litige.

L’autorité rappelle qu’en Italie, l’employeur ne peut pas accéder à la messagerie électronique d’un employé ou d’un collaborateur ou utiliser un logiciel pour conserver une copie des messages. Un tel traitement de données à caractère personnel constitue non seulement une violation des règles relatives à la protection des données à caractère personnel, mais est également susceptible d’entraîner une surveillance illicite de l’employé. Elle rajoute que la conservation systématique des courriers électroniques – effectuée sur une longue période (égale à trois ans après la fin de la relation) – et la conservation systématique des journaux d’accès aux courriers électroniques et au système de gestion utilisé par les employés n’étaient pas conformes aux règles de protection des données. En effet, cette conservation n’était pas proportionnée et nécessaire pour atteindre les objectifs déclarés par l’entreprise d’assurer la sécurité du réseau informatique et la continuité de l’activité de l’entreprise.
En outre, elle a permis à l’entreprise de reconstituer en détail l’activité de l’employé, ce qui constitue une forme de contrôle interdite par le statut des travailleurs.

L’zutorité a également constaté l’inadaptation et la déficience des informations fournies aux travailleurs. En effet, le document prévoyait la possibilité pour l’employeur d’accéder aux courriels de ses employés et collaborateurs afin d’assurer la continuité des activités de l’entreprise, en cas d’absence ou de cessation de la relation, sans mentionner, entre autres, la sauvegarde et la durée de conservation correspondante. Ainsi, outre l’amende, l’autorité italienne a ordonné l’interdiction de tout traitement ultérieur de données par le biais du logiciel utilisé pour la sauvegarde des courriers électroniques.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Violation de données : l’autorité italienne sanctionne Postel à hauteur de 900 000 euros

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné Postel (le « La Poste » italien) en raison d’une violation survenue du fait de l’exploitation d’une vulnérabilité connue de longue date, celle-ci ayant rendu les mesures de sécurité inadéquates. En août 2023, l’entreprise a été la cible d’une cyberattaque de type ransomware qui a provoqué le blocage des serveurs et de certains postes de travail. L’attaque a notamment entraîné l’exfiltration – et dans certains cas la perte de disponibilité – de fichiers contenant les données personnelles d’environ 25 000 personnes, y compris des employés, d’anciens employés, des parents, des titulaires de mandats sociaux, des candidats à l’emploi et des représentants d’entreprises ayant des relations d’affaires avec Postel. Les informations, publiées par la suite sur le dark web, concernaient des données personnelles et de contact, des données d’accès et d’identification, des données de paiement, ainsi que des données relatives à des condamnations pénales et à des infractions et, parmi les personnes appartenant à des catégories spéciales, des données révélant l’appartenance à un syndicat et la santé.

Bien que la vulnérabilité relative à Microsoft Exchange ait été signalée, d’abord par le fabricant du logiciel (septembre 2022, les mises à jour nécessaires étant disponibles en novembre 2022), puis par l’Agence nationale de cybersécurité (novembre 2022), Postel n’a pas mis à jour ses systèmes comme recommandé. L’entreprise a ainsi manqué à ses obligations au titre de la réglementation sur la protection des données, qui l’oblige à prendre des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque. L’enquête a également révélé que, dans la notification de la violation de données à la Garante et dans les compléments ultérieurs, l’entreprise n’avait pas fourni d’informations exhaustives sur la violation et sur les mesures d’atténuation ou d’élimination des vulnérabilités constatées, ce qui a entraîné un allongement du délai nécessaire aux vérifications de l’autorité.

L’autorité italienne a ainsi ordonné à Postel, outre le paiement d’une amende de 900 000 euros, de mener une action extraordinaire pour analyser les vulnérabilités de ses systèmes, préparer un plan de détection et de gestion de ces vulnérabilités, et identifier des temps de détection et de réponse adaptés au risque.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Les résultats du Sweep, réalisé par le Global Privacy Enforcement Network (GPEN) et  dont la Garante italienne est membre, ont été publiés

Dans sa newsletter du 13 septembre, l’autorité italienne revient sur les résultats de l’enquête du GPEN. Globalement, il est estimé que les utilisateurs de sites web et d’applications rencontrent encore trop d’obstacles lorsqu’ils doivent gérer les cookies ou supprimer leur compte. Les politiques de confidentialité, en revanche, sont faciles à lire et facilement accessibles. En effet, 26 autorités de protection des données du GPEN ont passé au crible, entre le 29 janvier et le 2 février, 899 sites web et 111 applications et ont identifié, dans 97 % des cas, la présence d’au moins un type de conception trompeuse. Parmi les indicateurs pris en considération, citons : l’utilisation d’un langage complexe et déroutant dans les divulgations, l’inclusion d’étapes supplémentaires et inutiles, l’introduction d’éléments de conception pour influencer la perception des options de confidentialité, et la demande d’informations personnelles excessives pour accéder à un service.

L’attention du garant italien de la protection de la vie privée s’est portée sur 50 sites web de « comparateurs » de services et de produits et concernait les bannières de cookies et la manière dont les comptes d’utilisateurs peuvent être supprimés. Dans plus de 60 % des cas, les bannières affichaient avec plus d’insistance l’option la moins favorable à la vie privée des utilisateurs ; dans près de 40 % des cas, l’utilisateur était contraint de suivre plusieurs étapes pour rejeter cette option ; dans un plus petit nombre de cas (environ 30 %), aucune autre option n’était présentée, hormis l’acceptation de tous les cookies. En outre, la  suppression d’un compte d’utilisateur présentait aussi souvent des difficultés en raison de l’absence d’une fonctionnalité de suppression spécifique, du nombre excessif de clics pour y parvenir, de la demande d’informations personnelles excessives et de l’utilisation d’un langage visant à dissuader l’utilisateur.

Disponible sur: privacyenforcement.net
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IMY (autorité suédoise)

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut